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Editorial 


Liebe Leserinnen und Leser, 


am 25.05.2016 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten 
(siehe dazu auch den einleitenden Artikel von Thilo Weichert in diesem Heft). Grund 
genug für uns, Ihnen mehrere Aspekte der neuen DSGVO genauer darzustellen. 
Hierzu konnten wir Artikel von Sabine Leutheusser-Schnarrenberger zum Recht auf 
Vergessen, von Robert Selk zu den neuen Anforderungen an Einwilligungen nach 
der DSGVO und von Werner Hülsmann zu den Anforderungen der DSGVO an den 
betrieblichen Datenschutz gewinnen. 


Wir haben mit dieser Ausgabe der DANA den beteiligten Organisationen, Verbän- 
den und Einzelpersonen, die sich in der DANA 3/2015 zu den roten Linien, die im 
Rahmen der Trilog-Verhandlungen zwischen EU-Parlament und EU-Rat nicht über- 
schritten werden durften, geäußert hatten, die Gelegenheit gegeben, ihre damaligen 
Forderungen und die nun fertige DSGVO gegenüberzustellen. Fast alle Beteiligten 
haben auch in dieser Ausgabe wieder mitgewirkt, in ihren Beiträgen ein Resümee 
gezogen und mitunter auch gleich den deutschen Gesetzgebern noch Empfehlungen 
für die Ausgestaltung des BDSG-Ablösegesetzes mitgegeben. 


Sich diesem Themenblock anschließend haben wir in dieser Ausgabe einen weiteren 
Artikel von Werner Hülsmann, der die (in der DSGVO enthaltenen) Gestaltungs- 
spielräume für die nationalen Gesetzgeber und die dazugehörigen Planungen des 
Bundesministeriums des Inneren darstellt. 


Neben dem gemeinsamen Positionspapier von Digitalcourage und DVD zur konkre- 
ten Ausgestaltung der Spielräume rundet ein Artikel von Frans Jozef Valenta zum 
BigBrotherAward 2016 die DANA ab. 


Natürlich fehlen auch in dieser Ausgabe nicht Datenschutznachrichten aus dem In- 
und Ausland, Technik-Nachrichten und Meldungen zu aktueller Rechtsprechung. 


Eine anregende und informative Lektüre wünscht Ihnen 
Frank Spaeing 


Autorinnen und Autoren dieser Ausgabe: 


Werner Hülsmann 

Vorstandsmitglied in der DVD, Mitglied des Beirats des Forum InformatikerInnen für Frieden und 
gesellschaftliche Verantwortung (FIfF) e.V., selbständiger Datenschutzberater, externer Datenschutzbe- 
auftragter und Datenschutzsachverständiger, Ismaning und Berlin, huelsmann@datenschutzverein.de 
Sabine Leutheusser-Schnarrenberger 

Bundesjustizministerin a. D., Mitglied des Google Advisory Council zum Recht auf Vergessen, 
info@leutheusser-schnarrenberger.de 

Dr. Robert Selk 

Rechtsanwalt, Fachanwalt für IT-Recht und Datenschutzbeauftragter,Leiter des Fachausschusses 
„Datenschutz“ der Deutschen Gesellschaft für Recht und Informatik, selk@kanzlei-ssh.de 

Frans Jozef Valenta 

Grafik-Designer, Vorstandsmitglied in der DVD, valenta@datenschutzverein.de 


Dr. Thilo Weichert 


Ehemaliger Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein, Kiel, 
Vorstandsmitgied in der DVD, weichert@datenschutzexpertise.de 
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Thilo Weichert 


Die Europäische Datenschutz-Grundverordnung — 


ein Überblick 


1 Kurzgeschichte der 
Verordnung 


Am 08.04.2016 beschlossen der Rat 
der Europäischen Union (EU) und am 
14.04.2016 das Parlament der EU ei- 
nen neuen Rechtsrahmen zum Schutz 
personenbezogener Daten in der Euro- 
päischen Union, auf die sich diese am 
15.12.2015 mit der Kommission der EU 
im sog. Trilog geeinigt hatten. Dieser 
Rechtsrahmen hat zwei Bestandteile, 
eine Richtlinie für den Datenschutz in 
den Bereichen Justiz und Polizei sowie 
eine Europäische Datenschutz-Grund- 
verordnung (EU-DSGVO). Das Kern- 
stück des neuen Rechtsrahmens ist die 
EU-DSGVO, mit der die Europäische 
Datenschutzrichtlinie (EG-DSRI) aus 
dem Jahr 1995 abgelöst wird. 

Der Diskussion über die EU-DSGVO 
lag ursprünglich ein Vorschlag der EU- 
Kommission vom 25.01.2012 zugrunde. 
Das EU-Parlament beschloss dann mit 
großer Mehrheit am 12.03.2014 eine 
Vielzahl von Änderungsvorschlägen. 
Mit Datum vom 15.06.2015 hatte sich 
der EU-Rat auf seine Haltung zur EU- 
DSGVO verständigt. Für die Erarbei- 
tung und Aushandlung der EU-DSGVO 
war das informelle Trilog-Verfahren ge- 
wählt worden, mit dem die Einberufung 
eines komplexen und möglicherweise 
zeitlich nicht überschaubaren Vermitt- 
lungsverfahrens vermieden wurde. 

Bevor die Kommission ihren Vor- 
schlag vorgelegt hatte, waren in Bezug 
auf den geplanten Rechtsrahmen zwei 
Konsultationen durchgeführt wor- 
den und zwar die vom 09.07.2009 bis 
31.12.2009 „zum Rechtsrahmen für das 
Grundrecht auf Schutz personenbezo- 
gener Daten“ sowie vom 04.11.2010 
bis 15.01.2011 „zum Gesamtkonzept 
der Kommission für den Datenschutz 
in der Europäischen Union“. Ihr „Ge- 
samtkonzept“ hatte die EU-Kommission 
am 04.11.2010 vorgestellt. Der EU-Rat 
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hatte am 24.02.2011 Schlussfolgerun- 
gen angenommen, in denen er das Re- 
formvorhaben der Kommission unter- 
stützte. Mit einer Entschließung vom 
06.07.2011 hatte das EU-Parlament ei- 
nen Bericht angenommen, der das Kom- 
missionskonzept für die Reform der Da- 
tenschutzregelungen guthieß. 


2 Rechtlicher Rahmen 


Die Vorschriften der nun verabschie- 
deten Grundverordnung zielen auf zwei- 
erlei ab: auf den Schutz des Grundrechts 
auf Datenschutz und auf die Garantie 
des freien Verkehrs personenbezogener 
Daten zwischen den Mitgliedstaaten. 

In Art. 16 Abs. 1 des Vertrags über die 
Arbeitsweise der Europäischen Union 
(AEUV) ist der Grundsatz verankert, 
dass jede Person das Recht auf Schutz 
ihrer personenbezogenen Daten hat. Seit 
dem Vertrag von Lissabon verfügt die 
EU mit Art. 16 Abs. 2 AEUV über eine 
besondere Rechtsgrundlage für den Er- 
lass von Datenschutzvorschriften. 

Der europäische Rechtsrahmen zum 
Datenschutz in der EU hat zwei völker- 
rechtliche bzw. verfassungsrechtliche 
Grundlagen, nämlich Art. 8 der Euro- 
päischen Menschenrechtskonvention 
(EMRK) sowie die Art. 7 und 8 der 
Europäischen Grundrechtecharta (Eu- 
GRCh). 


3 Zielsetzungen 


Zur Erreichung der Rechtsetzungszie- 
le — einem hohen Datenschutzstandard 
und dem freien Fluss personenbezoge- 
ner Daten im Binnenmarkt — schälten 
sich im Laufe der Diskussionen über die 
EU-DSGVO folgende Zwischenziele 
hieraus: 

- Es werden einheitliche verbindliche 
Regelungen angestrebt, die europa- 
weit gelten und direkt anwendbar 
sind. 


- Für die Anwendbarkeit der EU-DS- 
GVO soll das Marktortprinzip gelten; 
d. h. die europäischen Verbraucher 
und Betroffenen sollen durch das für 
sie vor Ort geltende europäische Recht 
geschützt werden, unabhängig davon, 
wo die Datenverarbeitung erfolgt und 
wo der Sitz der verarbeitenden Stelle 
liegt. 

Über den sog. One-Stop-Shop soll für 
ein Unternehmen vorrangig die ört- 
liche Datenschutzbehörde zuständig 
sein, so dass eine Kommunikation 
in einer konkreten Frage zum Da- 
tenschutz ausschließlich mit dieser 
erfolgt. Die Abstimmung der Positi- 
on dieser Aufsichtsbehörde mit den 
anderen Aufsichtsbehörden, in deren 
Zuständigkeit ein Unternehmen auf 
dem Markt agiert, hat innerhalb des 
administrativen Bereichs zu erfolgen. 
Die Transparenz für die Betroffenen 
soll verbessert und den modernen 
technischen Gegebenheiten angepasst 
werden. 

Der technische Datenschutz soll durch 
neue Instrumente verbessert werden, 
bei denen die Prinzipien des Privacy 
by Design und Privacy by Default so- 
wie der Datensparsamkeit schon bei 
der Technikgestaltung berücksichtigt 
werden. 

- Über eine Risikofolgenabschätzung 
soll zwischen risikoreichen Anwen- 
dungen und sonstigen Verfahren diffe- 
renziert werden. Bei geringerem Risi- 
ko soll für die Unternehmen der büro- 
kratische Aufwand reduziert werden, 
während bei komplexen Verfahren ein 
adäquater Schutz angestrebt wird. 
Nicht nur der Datenaustausch inner- 
halb der EU bzw. des Binnenmarktes 
soll gefördert werden, sondern auch 
mit Staaten, in denen ein angemesse- 
ner Datenschutz besteht. Fehlt dieser, 
so sind verbindliche und rechtssichere 
Instrumente für den Drittland-Daten- 
transfer vorgesehen. 
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Durch Verbesserung der Rechte der 
Betroffenen und deren Möglichkeit, 
durch administrative und gerichtliche 
Verfahren Rechtsschutz zu erlangen, 
sollen die bestehenden Vollzugsdefizi- 
te abgebaut werden. 

Über präventiv wie auch repressiv 
wirkende angemessen hohe Sankti- 
onen soll die Bereitschaft zur Um- 
setzung des Datenschutzes und zur 
Compliance bei den verantwortlichen 
Stellen gefördert werden. 


4 Struktur des EU-DSGVO 


Die Grundverordnung ist in 11 Kapitel 
gegliedert, deren Struktur sich weitge- 
hend an den bestehenden Datenschutzge- 
setzen und der EG-DSRl orientiert. Einen 
Schwerpunkt und Innovationen setzt die 
Verordnung weniger im materiell-recht- 
lichen Bereich als im administrativen, 
im technisch-organisatorischen sowie im 
prozeduralen Bereich. Die verbindlich 
geltende EU-DSGVO soll künftig an der 
Spitze einer hierarchischen Regelungs- 
struktur stehen, in der nationale Gesetze 
oder andere nachgeordnete Normen und 
Festlegungen spezielle Präzisierungen 
vornehmen können. 

Die Zählweise der Artikel orientierte 
sich während der Diskussion in den EU- 
Gremien an den Vorgaben der EU-Kom- 
mission. Da jedoch ganze Artikel und 
Absätze gestrichen und andere hinzuge- 
fügt wurden, erfolgte vor der Beschluss- 
fassung eine neue Durchnummerierung. 
Im folgenden Text werden die Artikel 
gemäß der endgültigen Beschlussfas- 
sung nummeriert. 


Gliederung EU-DSGVO (Ziffern vor 
dem Schrägstrich Beschlussfassung/da- 
hinter in der Entwurfsfassung) 

Kap. 1 Allgemeine Bestimmungen (1- 
4 

Grundsätze (5-11/5-10) 

Rechte der Betroffenen Person 
(12-23/11-21) 

Für Verarbeitung Verantwort- 
licher und Auftragsdatenverar- 
beiter (24-43/22-39a) 
Übermittlung personenbezoge- 
ner Daten an Drittländer oder 
an internationale Organisatio- 
nen (44-50/40-45) 
Unabhängigkeit der Aufsichts- 
behörden (51-59/46-54) 


Kap. 2 
Kap. 3 


Kap. 6 
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Kap. 7 Zusammenarbeit und Kohärenz 
(60-76/54a-72) 

Kap. & Rechtsbehelfe, Haftung und 
Sanktionen (77-84/73-79b) 


Kap. 9 Besondere Datenverarbei- 
tungssituationen (85-91/80-85) 

Kap. 10 Delegierte Rechtsakte und 
Durchführungsrechtsakte (92, 
93/86, 87) 

Kap. 11 Schlussbestimmungen (94- 
99/88-91) 


5 Anwendungsbereich 


Die EU-DSGVO wird die zentra- 
le Datenschutzregelung in der EU, ist 
aber nicht in allen Bereichen in der 
EU anwendbar. Dort, wo Unionsrecht 
keine Gültigkeit hat, gilt auch die EU- 
DSGVO nicht. Entsprechendes gilt für 
Tätigkeiten nach Titel V Kapitel 2 EUV, 
also die gemeinsame Außen- und Si- 
cherheitspolitik. Für Tätigkeiten zum 
Zweck der polizeilichen und justiziellen 
Verhütung und Verfolgung von Strafta- 
ten gilt die zeitgleich konsentierte EU- 
Datenschutzrichtlinie für Justiz und 
Polizei. Weitere Ausnahmen sind die 
personenbezogene Verarbeitung von 
Daten in ungeordneten Akten sowie, 
wenn sich die Datenverarbeitung aus- 
schließlich auf den persönlichen oder 
familiären Bereich bezieht (sog. Haus- 
haltsausnahme). Soweit Organe der EU 
tätig werden, gilt weiterhin die Verord- 
nung EG Nr. 45/2001. Unberührt bleibt 
weiterhin die Datenschutzrichtlinie für 
den Telekommunikationsbereich, wel- 
che die Verarbeitung von Bestands- und 
Verkehrsdaten von Netzdiensteanbietern 
regelt (Art. 2). 

Es gilt das Marktortprinzip. Danach 
kommt es nicht darauf an, wo physisch 
die Datenverarbeitung erfolgt. Relevant 
ist vielmehr, dass die Verarbeitung einer 
verantwortlichen Stelle oder eines Auf- 
tragsdatenverarbeiters auf eine Person 
abzielt, die sich in der EU aufhält (Art. 3). 

Die Begriffsbestimmungen bringen 
im Vergleich zur EG-DSRl keine we- 
sentlichen inhaltlichen Änderungen, 
wohl aber Erweiterungen: Neu definiert 
werden z. B. Begriffe wie „Profiling“, 
„Pseudonymisierung“, „genetische Da- 
ten“, „biometrische Daten“, „Haupt- 
niederlassung“, „Vertreter“, „Unter- 
nehmen“, „Unternehmensgruppe“ oder 
„verbindliche unternehmensinterne Da- 


tenschutzvorschriften“, was bisher mit 
dem englischen Begriff „Binding Cor- 
porate Rules“ (BCRs) bezeichnet wor- 
den ist (Art. 4). 


6 Grundprinzipien 


Im deutschen Datenschutzrecht war 
es bisher nicht üblich, Gesetzen Grund- 
prinzipien voranzustellen, anders nun in 
Europa in Art. 5. Dies ist systematisch 
zu begrüßen. Bei der Auslegung der 
weiteren Regelungen sollte und kann 
immer hierauf zurückgegriffen werden. 
Außerdem wird dem mit dem Daten- 
schutzrecht nicht vertrauten Menschen 
kurz und bündig klargestellt, welche ge- 
nerellen Erwägungen die EU-DSGVO 
prägen. Diese sind für erfahrene Anwen- 
der alle keine Unbekannten: 
Rechtmäßigkeit, Verarbeitung nach 
Treu und Glauben, Transparenz, 
Zweckbindung, 

Richtigkeit, 

Erforderlichkeit, die etwas sperrig 
„Speicherbegrenzung“ genannt wird, 
Integrität und Vertraulichkeit, 
Verantwortlichkeit, die unter dem Be- 
griff „Rechenschaftspflicht“ geführt 
wird. 


Hervorzuheben ist, dass als weiterer 
Grundsatz die „Datenminimierung“ 
erwähnt wird. Wirtschaftsvertreter wie 
auch die deutsche Bundesregierung hat- 
ten noch kurz vor Abschluss des Trilogs 
dafür gekämpft, das Prinzip der Daten- 
sparsamkeit aus der EU-DSGVO zu 
verbannen, weil damit die Chancen der 
europäischen Wirtschaft bei der Ent- 
wicklung zukunftsweisender und luk- 
rativer Big-Data-Konzepte beschnitten 
würden. Davon unbeeindruckt findet sich 
dieser Grundsatz nicht nur eingangs pro- 
minent, sondern an vielen weiteren Stel- 
len, so insbesondere in Art. 25, wo als 
Instrumente der Datenminimierung die 
Pseudonymisierung und „Privacy by De- 
fault‘“ genannt werden, im Rahmen von 
Zertifizierungen (Art. 25 Abs. 3), als Si- 
cherheitsmaßnahme (Art. 32 Abs. 1 lit. a) 
sowie als Kriterium für Verhaltensregeln 
(Art. 40 Abs. 2 lit. d). In Art. 11 wird 
explizit klargestellt, dass aus einer pseu- 
donymen oder sonstwie datensparsamen 
Verarbeitung keine Pflicht besteht, allein 
zum Zweck der Einhaltung der Verord- 
nung zusätzliche Daten einzuholen. 
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Das schon bisher in der EG-DSRI 
geltende Verbot mit Erlaubnisvorbehalt 
ergibt sich aus Art. 6, der die „Rechtmä- 
Bigkeit der Verarbeitung“ regelt. Über- 
sichtlicher und systematischer als z. B. 
in den $$ 28 ff. BDSG werden die Le- 
gitimationsmöglichkeiten für die Verar- 
beitung aufgezählt: 

- Einwilligung, 

Vertragserfüllung, 

Erfüllung einer rechtlichen Verpflich- 

tung 

- Schutz lebenswichtiger Interessen, 

Erfüllung einer Aufgabe im öffentli- 

chen Interesse oder in Ausübung öf- 

fentlicher Gewalt, 

- Wahrnehmung berechtigter Interes- 
sen, sofern die schutzwürdigen Inter- 
essen nicht überwiegen. 


Der letztgenannte Punkt war umstrit- 
ten. Während Datenschützer für eine 
Eingrenzung der berechtigten Interessen 
plädierten, setzten sich vor allem der Rat 
und die Wirtschaftslobby für eine Aus- 
weitung ein. Letztendlich kam es inso- 
fern zu keiner Änderung des bisherigen 
Rechtszustands, der eine offene Abwä- 
gungsformel enthält (z. B. $ 28 Abs. 1 
S.1 Nr. 2 BDSG). 

Den Mitgliedstaaten wird in Art. 6 
Abs. 3 und 4 insbesondere für die Ver- 
arbeitung öffentlicher Stellen und zur 
Erfüllung rechtlicher Pflichten ein sehr 
weitgehendes Konkretisierungsrecht 
zugesprochen. Dabei sind aber Regeln 
zu beachten: So muss eine klare Zweck- 
bestimmung erkennbar sein. Eine Präzi- 
sierung kann hinsichtlich der Datenar- 
ten, der Verarbeitungsbedingungen, der 
Betroffenen, der verarbeitenden Stellen 
und der Speicherfristen erfolgen. Zu be- 
achten ist, dass immer ein im öffentli- 
chen Interesse liegendes Ziel in verhält- 
nismäßiger Weise verfolgt wird. 

Damit können die meisten in Deutsch- 
land geltenden bereichsspezifischen Da- 
tenschutzregelungen beibehalten wer- 
den. Die in der Verordnung genannten 
Anforderungen an solche bereichsspezi- 
fischen Regelungen entsprechen denen 
des deutschen Bundesverfassungsge- 
richts (BVerfG) an die Verfassungsmä- 
Bigkeit gesetzlicher Regelungen zur 
personenbezogenen Datenverarbeitung. 
Dies hat zur Folge, dass materiell ver- 
fassungswidrige Gesetze auch der EU- 
DSGVO widersprechen und umgekehrt. 
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Enthalten die bereichsspezifischen na- 
tionalen Regelungen aber prozedurale 
oder organisatorische Normen, insbe- 
sondere hinsichtlich des Datenschutz- 
managements bei den Verantwortlichen, 
der Selbstregulierung und der staatli- 
chen Aufsicht, so kann insofern doch 
eine Anpassung an die EU-DSGVO 
erforderlich sein. Jedenfalls ist die Be- 
fürchtung, dass nach Inkrafttreten der 
Verordnung alle bereichsspezifischen 
Gesetze in Deutschland zur Randnotiz 
in der Datenschutzgeschichte würden, 
unbegründet. 

Äußerst umstritten war Art. 6 Abs. 4, 
der die Voraussetzungen für Zweckände- 
rungen regelt. Die Norm muss im Zu- 
sammenhang mit den Absätzen 1 und 
2 gelesen werden, in denen allgemeine 
Voraussetzungen für rechtmäßige Da- 
tenverarbeitungen definiert werden. Zu- 
sätzlich werden Kriterien benannt, die 
bei einer Zweckänderung berücksichtigt 
werden müssen: a) die Verbindung des 
neuen mit dem ursprünglichen Zweck, 
b) der Erhebungszusammenhang, c) 
die Sensibilität der Daten, d) die mög- 
lichen Folgen der Weiterverarbeitung 
für die Betroffenen und e) angemessene 
Schutzmaßnahmen wie z. B. Verschlüs- 
selung oder Pseudonymisierung. 


7 Einwilligung 


Die Einwilligung ist und bleibt eine 
zentrale Legitimation für die Daten- 
verarbeitung (Art. 7). Die Diskussion 
über die Bedeutung, die Voraussetzun- 
gen und die Rahmenbedingungen von 
datenschutzrechtlichen Einwilligungen 
wird seit Jahren engagiert geführt. Diese 
Debatte findet mit der EU-DSGVO kein 
Ende, wohl erfolgen aber einige Kon- 
kretisierungen. Die allgemeinen Anfor- 
derungen an die Einwilligung ändern 
sich jedoch nicht: inhaltliche Bestimmt- 
heit, Hervorhebungspflicht, Widerrufs- 
möglichkeit, Freiwilligkeit. 

Konkretisierungen hinsichtlich der 
Einwilligungserfordernisse bestehen 
insofern, als die Einwilligung bzw. das 
Ersuchen danach ‚in verständlicher und 
leicht zugänglicher Form in einer klaren 
und einfachen Sprache“ zu erfolgen hat. 
Beim Widerruf dürfen keine formellen 
Hürden errichtet werden. In Art. 7 Abs. 4 
wird unter dem Stichwort Freiwilligkeit 
ein eingegrenztes Koppelungsverbot 


normiert: Wird für einen Vertrag oder 
eine Dienstleistung eine Einwilligung 
abverlangt, „die für die Erfüllung des 
Vertrags nicht erforderlich ist“, so ist sie 
im Zweifel nicht freiwillig. Unklar sind 
die Rechtsfolgen einer unzulässigen 
Koppelung. Diese dürfte die Unzuläs- 
sigkeit der gesamten Einwilligung zur 
Folge haben. In jedem Fall kann ein Wi- 
derruf der Einwilligung deren Wirkung 
für die Zukunft aufheben. Bei der An- 
wendung der Regelung kann es letztlich 
auch nicht darauf ankommen, ob eine 
Einwilligung als solche oder als Ver- 
tragsbestandteil bezeichnet wurde. 

Die Autoren der EU-DSGVO legten 
sich nicht auf eine Altersgrenze für die 
Einwilligungsfähigkeit von Kindern 
bzw. Jugendlichen fest. In Deutschland 
wird bisher auf die Einsichtsfähigkeit 
abgestellt. Da hierüber in den nationa- 
len Rechtskulturen unterschiedliche 
Vorstellungen herrschten und eine Eini- 
gung nicht möglich war, können die na- 
tionalen Gesetzgeber künftig zwischen 
vollendetem 13. und 16. Lebensjahr 
eigene Festlegungen vornehmen. Unter 
dieser Grenze muss bei einem Einwil- 
ligungsbedarf die Zustimmung der EI- 
tern eingeholt werden. Es wird zudem 
klargestellt, dass die Einwilligung zur 
Datenverarbeitung und die sonstige Ge- 
schäftsfähigkeit getrennt voneinander 
zu beurteilen sind (Art. 8). 


8 Besondere Datenkategorien 


Hinsichtlich der Verarbeitung sensi- 
tiver Daten, also von Daten aus „be- 
sonderen Kategorien“, gibt es keine 
wesentlichen Änderungen: Einen be- 
sonderen Schutz gibt es auch in Zu- 
kunft für Daten zur rassischen und eth- 
nischen Herkunft, zu politischen Mei- 
nungen, religiösen oder weltanschauli- 
chen Überzeugung, Gewerkschaftszu- 
gehörigkeit, Gesundheit, Sexualleben 
und sexueller Ausrichtung. Eine Prä- 
zisierung erfolgt dadurch, dass in den 
Katalog die genetischen Daten sowie 
biometrische Daten zur eindeutigen 
Personenidentifizierung aufgenommen 
wurden (Art. 9). Trotz der zunehmen- 
den Schutzbedürftigkeit von Finanz- 
transaktionsdaten, die sich durch die 
zunehmende Digitalisierung des Zah- 
lungsverkehrs und deren Bedeutung für 
Identitätsdiebstähle ergibt, wurde die 
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Kategorie nicht in den Schutzbereich 
der sensitiven Daten aufgenommen. 

Die Ausnahmen von dem grundsätz- 
lichen Verarbeitungsverbot erinnern an 
den bisherigen europäischen Regelungs- 
rahmen. Als Ausnahme wird zunächst 
die explizite Einwilligung genannt. Es 
ist erfreulich, dass in begründeten Fällen 
spezialgesetzliche Einwilligungsverbote 
ausdrücklich zugelassen werden. In fol- 
genden Fällen muss keine Einwilligung 
eingeholt werden: bei Ausübung von 
Rechten aus dem Arbeitsrecht, der sozi- 
alen Sicherheit und des Sozialschutzes, 
zum Schutz lebenswichtiger Interessen 
bei Einwilligungsunfähigkeit, bei der 
Verarbeitung durch einen sog. Tendenz- 
betrieb, bei vom Betroffenen offenkun- 
dig veröffentlichen Daten, zur Durch- 
setzung rechtlicher Ansprüche, zur 
Gesundheitsvorsorge, Arbeitsmedizin, 
medizinischen Diagnostik, zur Versor- 
gung und Behandlung, zur Verwaltung 
im Gesundheits- und Sozialbereich, im 
öffentlichen Gesundheitswesen, für Ar- 
chivzwecke, zur wissenschaftlichen und 
historischen Forschung und für statisti- 
sche Belange. 

Die gegenüber den bisherigen Erlaub- 
nistatbeständen zur Verarbeitung sensi- 
tiver Daten vorgenommenen Änderun- 
gen sollen bisherige Regelungsdefizite 
beseitigen. So wird nicht mehr zwischen 
öffentlicher und privater Verwaltung 
von Systemen und Diensten im Gesund- 
heits- und Sozialbereich unterschieden, 
so dass, anders als bisher, Privatversi- 
cherungen von der Ausnahmeregelung 
mit erfasst sein können. 

Bzgl. der sensitiven Daten beste- 
hen weitgehend nationale gesetzliche 
Konkretisierungsmöglichkeiten, wobei 
erhöhte Verarbeitungsvoraussetzun- 
gen nötig sein können. Damit kann das 
hochkomplexe Regelungsgeflecht beim 
Datenschutz im deutschen Sozialrecht 
weitgehend beibehalten werden. So sehr 
das von Seiten der Verantwortlichen be- 
grüßt werden dürfte, so schade ist es, 
dass die EU-DSGVO nicht dazu zwingt, 
das unstrukturiert gewordene Daten- 
schutzrecht in den Sozialgesetzbüchern 
I bis XII einer Totalrevision und Berei- 
nigung zu unterwerfen. 

In der Verordnung wird ein spezifisch 
(national) regelungsfähiger Aspekt ex- 
plizit erwähnt: die Verarbeitung beson- 
ders sensibler Daten durch Fachperso- 
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nal, das z. B. einem besonderen Berufs- 
geheimnis unterliegt. Das vorliegende 
Regelungskonzept machte es überflüs- 
sig, nochmals gesondert die Verarbei- 
tung für Gesundheitszwecke zu normie- 
ren, wie es zunächst von der Kommissi- 
on in einem Art. 81 vorgesehen war (sie- 
he aber Art. 90 zu Berufsgeheimnissen 
allgemein). Werden Berufsgeheimnisse 
nicht von den in Art. 9 genannten Tat- 
beständen erfasst, so muss im Einzelfall 
geprüft werden, ob die in $ 203 StGB 
sowie in weiteren nationalen Spezialge- 
setzen enthaltenen Berufsgeheimnisse 
von nationalen Ausnahmeklauseln er- 
fasst werden und ob eine Kollision zur 
EU-DSGVO entstanden ist. 

Für Daten über strafrechtliche Verur- 
teilungen und Straftaten oder damit zu- 
sammenhängende Sicherungsmaßregeln 
werden in Art. 10 spezifische Verar- 
beitungsvoraussetzungen benannt: Die 
Verarbeitung muss „unter behördlicher 
Aufsicht“ erfolgen; anderenfalls bedarf 
es angemessener gesetzlicher Garantien. 


9 Betroffenenrechte 


Die Rechte der Betroffenen und de- 
ren Beschränkungen sind in den Art. 
12 bis 23 geregelt. Anders als bisher ist 
der Normierung der einzelnen Rechte 
ein allgemeiner Teil vorangestellt, in 
dem Adressatengerechtigkeit, Präzision, 
Transparenz, Verständlichkeit, leichte 
Zugänglichkeit und weitestgehende Un- 
entgeltlichkeit eingefordert werden. Als 
Standard-Reaktionsfrist wird der verant- 
wortlichen Stelle ein Monat vorgegeben 
(Art. 12). 

Die meisten der normierten Betroffe- 
nenrechte sind bekannt: Information bei 
der Erhebung (Art. 12) bzw. Informati- 
on, wenn die Daten nicht beim Betroffe- 
nen erhoben werden (Art. 14), Auskunft 
(Art. 15), Berichtigung (Art. 16), Lö- 
schung (Art. 17), Sperrung (Art. 18), 
was technisch präziser als „Einschrän- 
kungder Verarbeitung“ bezeichnet wird, 
Widerspruch generell (Art. 21) bzw. bei 
automatisierten Einzelentscheidungen 
(Art. 22) und der zu einem Nutzungs- 
verbot für Werbezwecke führende spe- 
zifische Werbewiderspruch (Art. 21 
Abs. 2u.3). 

Gegenüber den bisherigen Regelun- 
gen gibt es einige kleine Verbesserun- 
gen: So wird klargestellt, dass zum 


Berichtigungsanspruch auch das Recht 
auf Vervollständigung unvollständiger 
Daten gehört. Der Löschanspruch wird 
mit dem schillernden Marketing-Begriff 
des „Rechts auf Vergessenwerden“ flan- 
kiert. Als Abwägungstopoi für den Lö- 
schungsanspruch werden die Rechte auf 
freie Meinungsäußerung und auf Infor- 
mation genannt. 

Neu ist das Recht auf Datenübertrag- 
barkeit. Dieses Recht bezieht sich auf 
Daten, die ein Wirtschaftsunternehmen 
vom Betroffenen auf der Basis eines 
Vertrages oder einer Einwilligung erhal- 
ten hat. Wenn die Verarbeitung automa- 
tisiert erfolgt, soll der Betroffene deren 
Bereitstellung in einer zu einem anderen 
Unternehmen übertragbaren Form ver- 
langen können. Die Datenübertragung 
kann über den Betroffenen, aber wahl- 
weise auch direkt zum neuen Dienstean- 
bieter erfolgen (Art. 20). Wie dies in der 
Praxis umgesetzt werden soll, ist sowohl 
technisch als auch (außerhalb des An- 
wendungsbeispiels „soziale Netzwer- 
ke“) vom Umfang her noch weitgehend 
unklar. 

Die Regelung zur automatisierten 
Einzelentscheidung wird mit dem Zu- 
satz „einschließlich Profiling“ ergänzt. 
Letztlich wird versucht, damit einen 
Teilbereich so genannter Big-Data-Aus- 
wertungen zu regulieren. Da der Verord- 
nungsgeber erkannt hat, dass ihm hierzu 
sowohl Erfahrung als auch das nötige 
differenzierende Instrumentarium feh- 
len, behilft er sich erneut mit einer Öff- 
nungsregelung für die nationalen oder 
europäischen Normgeber. Um in die- 
sem exorbitant wichtigen Feld aber die 
europarechtliche Kontrolle zu wahren, 
werden bei der Normierung „geeignete 
Maßnahmen zum Schutz der Rechte und 
Freiheiten“ gefordert. Problematisch an 
der Regelung bleibt, dass Big-Data-An- 
wendungen, die nicht auf „Entscheidun- 
gen“ hinauslaufen, ausdrücklich nicht 
erfasst werden. Bisher war streitig, ob 
die Entscheidung, jemandem auf Basis 
von Profiling Werbung zuzusenden, un- 
ter die Regelung zu automatisierten Ent- 
scheidungen fällt. Durch die Einbezie- 
hung des Profiling kann herausgelesen 
werden, dass diese Streitfrage zumin- 
dest beim Einsatz dieser Methode, was 
auch immer genau darunter verstanden 
wird, zugunsten der Betroffenen zu be- 
antworten ist. 
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Eine ungewöhnliche, aber angesichts 
der anscheinend bestehenden nationalen 
Unterschiede einzig konsensfähige Re- 
gelung wurde bei der Beschränkung der 
Betroffenenrechte gewählt: Während 
das Betroffenenrecht selbst sich direkt 
aus der Verordnung ergibt, werden die 
Einschränkungen national geregelt, wo- 
bei dem nationalen Gesetzgeber hierfür 
materielle Vorgaben gemacht werden. 
Dabei werden bekannte Abwägungs- 
muster benannt, vom „Schutz der nati- 
onalen Sicherheit“ bis zum „Schutz der 
Rechte und Freiheiten anderer Perso- 
nen“ (Art. 23). 


10 Verantwortlichkeit 


Im Kapitel IV der Verordnung werden 
unter der Überschrift „Verantwortlicher 
und Auftragsdatenverarbeiter“ verschie- 
dene Aspekte geregelt, unter anderem 
auch, was bisher dem Begriff „tech- 
nisch-organisatorische Maßnahmen“ 
behandelt wurde. Die nun vorgelegten 
Regelungen gehen über das bisherige 
Verständnis teilweise weit hinaus. Die 
Verantwortlichkeiten nach der EU-DS- 
GVO beschränken sich auch nicht auf 
dieses Kapitel, sondern erstrecken sich 
natürlich zudem auf die — an anderer 
Stelle geregelten — materiell-rechtlichen 
Pflichten wie z. B. die Erlaubnisrege- 
lungen und die Umsetzung der Betrof- 
fenenrechte. 

Hinsichtlich der Datensicherheit wird, 
anders dies bisher explizit der Fall war, 
ein risikoorientierter Ansatz verfolgt. 
Dabei werden keine Schutzmaßnahmen 
aufgeführt, sondern die Umsetzung von 
Datenschutzgrundsätzen eingefordert, 
zu denen auch die Datenminimierung 
zählt (vgl. Ziffer 8). Als beschränkte 
Entlastung von Nachweispflichten wird 
die in Art. 42 normierte Zertifizierung 
erwähnt (Art. 25 Abs. 3). 

Der gemeinsamen Verantwortlichkeit 
mehrerer Stellen, die begründet wird 
durch die gemeinsame Festlegung der 
Zwecke und Mittel der Datenverarbei- 
tung, wird ein eigenständiger Artikel 26 
gewidmet. Dabei wird, anders als bis- 
her, eine „Vereinbarung in transparenter 
Form“ gefordert, in der die Verantwor- 
tungsverteilung zu regeln ist. Fehlt eine 
Regelung, so hat dies für Betroffene 
keine nachteiligen Rechtsfolgen, da die- 
se sich an jeden der Verantwortlichen 
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wenden können. Angesichts der zuneh- 
menden Arbeitsteilung bei der Daten- 
verarbeitung, die oft nicht auf expliziten 
textlichen Vereinbarungen basiert, kann 
bezweifelt werden, ob mit der Regelung 
ein Fortschritt erreicht wird, der über die 
reine Benennung des Problems hinaus- 
geht. Insofern hat der EuGH vom deut- 
schen Bundesverwaltungsgericht (BVer- 
wG) die Gelegenheit erhalten, eine dann 
auch für die EU-DSGVO geltende Inter- 
pretation vorzugeben, nachdem dieses 
dem EuGH am 25.02.2016 Fragen zur 
„Verantwortlichkeit“ von Facebook- 
Fanpagebetreibern vorlegte. 

Fehlt es in der EU an einer zur Verant- 
wortung zu ziehenden Niederlassung, so 
muss gemäß Art. 27 ein in der EU ansäs- 
siger „Vertreter benannt werden, der 
im Auftrag der verantwortlichen oder 
der auftragsdatenverarbeitenden Stelle 
bzgl. aller Datenschutzfragen als „An- 
laufstelle‘“ tätig wird. 

Die Verarbeitung im Auftrag in Art. 
28 hat einen über den heutigen $ 11 
BDSG hinausgehenden Detaillierungs- 
grad, ohne aber die darin enthaltenen 
Grundprinzipien in Frage zu stellen. 
Die gegenseitigen Hinweis- und In- 
formationspflichten werden genauer 
benannt. So soll der Auftragsverarbei- 
ter den Verantwortlichen präziser über 
Unterauftragsverhältnisse informieren. 
Unteraufträge müssen die gleiche Re- 
gelungstiefe aufweisen wie Aufträge. Es 
erfolgen Bezugnahmen zu genehmigten 
Zertifizierungen nach Art. 42 sowie ge- 
nehmigten Standardvertragsklauseln. Es 
wird klargestellt, dass ein Auftragsver- 
arbeiter, der auftragswidrig Zwecke und 
Mittel der Datenverarbeitung bestimmt, 
als Verantwortlicher zu behandeln ist. 

Ein erklärtes Ziel der EU-DSVGO 
ist es, den bürokratischen Aufwand des 
Datenschutzes abzubauen. Dies soll 
aber nicht dazu führen, dass der für 
einen wirksamen Datenschutz nötige 
Aufwand nicht erbracht wird. Und nötig 
ist in jedem Fall der Überblick über die 
personenbezogene Datenverarbeitung 
für den Verantwortlichen bzw. Vertreter, 
weshalb diese weiterhin ein Verfahrens- 
verzeichnis, genauer ein „Verzeichnis 
von Verarbeitungstätigkeiten“ führen 
muss (Art. 30). Dies gilt auch für die 
Auftragsverarbeiter. Nicht verpflich- 
tet werden Stellen mit weniger als 250 
Beschäftigten, es sei denn, es bestehen 


besondere Verarbeitungsrisiken, etwa 
durch die Verarbeitung von besonderen 
Datenkategorien oder von Daten über 
Straftaten. 

An die Stelle des technisch völlig 
überholten $ 9 BDSG mit Anlage tritt 
hinsichtlich der technisch-organisatori- 
schen Maßnahmen der Art. 30. Dieser 
fordert statt bestimmter Schutzmaß- 
nahmen die Einhaltung der Schutzziele 
Vertraulichkeit, Integrität, Verfügbar- 
keit und Belastbarkeit und benennt als 
Instrumente u. a. die Pseudonymisie- 
rung und die Verschlüsselung. Warum 
ausgerechnet diese Maßnahmen durch 
explizite Nennung aus einer Vielzahl 
möglicher Maßnahmen herausgehoben 
werden und was unter „Belastbarkeit“ 
zu verstehen ist, bleibt zunächst das 
Geheimnis des Gesetzgebers. Gefordert 
wird vor Durchführung einer Verarbei- 
tung eine explizite Risikobewertung, ein 
darauf abgestimmtes Schutzkonzept so- 
wie eine regelmäßige Evaluierung. 

An die Stelle der bisherigen Vor- 
abkontrolle tritt eine risikoorientierte 
„Datenschutz-Folgeabschätzung“ bei 
spezifisch benannten Verfahren (sys- 
tematische Personenbewertung, Verar- 
beitung sensibler Daten, Überwachung 
öffentlicher Räume) unter Einbeziehung 
eines möglicherweise vorhandenen 
Datenschutzbeauftragten (Art. 35). Es 
besteht die Pflicht zu einer „vorheri- 
gen Konsultation“ der Datenschutzauf- 
sichtsbehörde, wenn ein hohes Risiko 
besteht, sofern der „Verantwortliche 
keine Maßnahmen zur Eindämmung des 
Risikos trifft“ (Art. 36). 

In den Art. 33 und 34 ist die Meldung 
bzw. Benachrichtigung von Daten- 
schutzverletzungen gegenüber der Auf- 
sichtsbehörde sowie den Betroffenen 
(sog. Breach Notification) geregelt. 

Entgegen der Befürchtung vieler deut- 
scher Datenschützer sind in den Art. 37 
bis 39 prominent die Benennung, die 
Stellung und die Aufgaben der (betrieb- 
lichen bzw. behördlichen) Datenschutz- 
beauftragten normiert und festgeschrie- 
ben. Die Pflicht zur Bestellung besteht 
bei öffentlichen Stellen, bei der „syste- 
matischen Beobachtung von betroffenen 
Personen“ und bei der Verarbeitung sen- 
sibler Daten. Eine Bestellung kann nati- 
onal darüberhinausgehend verpflichtend 
gemacht werden, so dass der bestehende 
deutsche Regelungsrahmen beibehalten 
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werden kann. Die rechtliche Ausgestal- 
tung des Datenschutzbeauftragten sowie 
dessen Aufgaben orientieren sich stark 
an den bisher geltenden deutschen Be- 
stimmungen. 


11 Regulierte Selbstregulierung 


Das Instrument der Verhaltensregeln 
im privaten Bereich hat bisher nicht nur 
in Deutschland ($ 38a BDSG) wenig 
Resonanz gefunden. Das soll sich künf- 
tig dadurch ändern, dass deren Funkti- 
on und die Anreize hierfür erhöht wer- 
den (Art. 40, 41). So können hierüber 
für Kleinst- bzw. kleinere und mittlere 
Unternehmen Standardisierungen und 
damit Vereinfachungen vorgenommen 
werden. Über Verhaltensregeln kön- 
nen „geeignete Garantien“ festgelegt 
werden, die bei Datenübermittlungen 
in Drittländer innerhalb einer Branche 
verpflichtend sind. Die Regeln können 
und müssen eine „obligatorische Über- 
wachung“ durch installierte Verbands- 
mechanismen z. B. in einer Branche 
vorsehen. Die Verhaltensregeln unter- 
liegen, wie bisher, der Genehmigungs- 
pflicht durch die nach Art. 51 zuständige 
Aufsichtsbehörde und können von der 
EU-Kommission für verbindlich erklärt 
werden. Die Überwachung der Verhal- 
tensregeln kann zu diesem Zweck ak- 
kreditierten Stellen übertragen werden 
(Art. 40). Durch die verbandsinterne 
Streitbeilegung können Verbände den 
Datenschutz also selbst in die Hand 
nehmen und dadurch zugleich die Auf- 
sichtsbehörden entlasten. 

Völlig neu ist auf europäischer Ebene 
die Zertifizierung gemäß den Art. 42, 43. 
Zertifizierungsverfahren, die freiwillig 
sind und transparent sein müssen, kön- 
nen von privaten Zertifizierungsstellen 
oder Aufsichtsbehörden durchgeführt 
werden. Unter anderem ist ein „Europä- 
isches Datenschutzsiegel‘“ vorgesehen, 
für das der Europäische Datenschutz- 
ausschuss (EDA) Prüfkriterien festlegt. 
Private Zertifizierungsstellen bedürfen 
einer Akkreditierung durch die Auf- 
sichtsbehörde oder durch eine nationale 
Akkreditierungsstelle, wobei die Vor- 
aussetzungen präzise in der Verordnung 
festgelegt sind. Zwecks Übersichtlich- 
keit werden alle anerkannten Zertifizie- 
rungsverfahren und Datenschutzsiegel 
in ein einheitliches Register aufgenom- 
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men. Sind die Voraussetzungen nicht 
(mehr) erfüllt, können sowohl Zertifizie- 
rungen als auch Akkreditierungen wie- 
der entzogen werden. Die Kommission 
kann über Durchführungsakte techni- 
sche Standards sowie Verfahrensvorga- 
ben festlegen. 


12 Auslandsdatentransfer 


Hinsichtlich des grenzüberschreiten- 
den Datentransfers ergeben sich gegen- 
über der Richtlinie keine grundsätzli- 
chen Veränderungen. Wohl aber wurden 
viele Konkretisierungen vorgenommen, 
die insbesondere auch die Rechtspre- 
chung des EuGH aufgreifen. 

Innerhalb der EU gibt es keine spezi- 
fischen Übermittlungsbeschränkungen 
(Art. 1 Abs. 3). Gleiches gilt, wenn von 
der Kommission die Angemessenheit 
des Datenschutzstandards im Empfän- 
gerland festgestellt wurde. Für die An- 
gemessenheitsprüfung enthält Art. 41 
Abs. 2 einen umfangreichen Kriterienka- 
talog, der an die Kriterien des Safe-Har- 
bor-Urteils des EuGHs anknüpft. Darin 
werden folgende Bedingungen genannt: 
Grundrechtsgeltung, auch im Bereich der 
öffentlichen Sicherheit, der Verteidigung 
und der nationalen Sicherheit, geltende 
Datenschutz-Rechtsvorschriften und un- 
abhängige Datenschutzkontrolle. Eine 
Überprüfung ist alle 4 Jahre nötig. 

Liegt kein genereller Angemessen- 
heitsbeschluss der Kommission vor, 
so können an die Stelle staatlicher 
Datenschutzsicherungen im Empfän- 
gerland „geeignete Garantien“ treten, 
die bindend und durchsetzbar sein 
müssen. Als Beispiele werden nun 
ausdrücklich Standardvertragsklau- 
seln und unternehmensinterne Da- 
tenschutzvorschriften (sog. Binding 
Corporate Rules — BCRs) genannt, 
aber auch genehmigte Verhaltensre- 
geln oder Zertifizierungen (Art. 46). 
Für die Regelungen in BCRs werden in 
Art. 47 präzise Anforderungen festge- 
legt, zu denen die Umsetzung der Be- 
troffenenrechte, die Haftungsübernah- 
me im Fall von Verstößen, Beschwerde- 
und Konfliktlösungsverfahren und die 
Kooperation mit der Aufsichtsbehörde 
gehören. In einem neuen Artikel 48, der 
implizit auf US-Regelungen wie den 
Patriot Act Bezug nimmt, wird klarge- 
stellt, dass Drittlands-Gerichts- oder 


Verwaltungsentscheidungen nach eu- 
ropäischem Recht nur dann umgesetzt 
werden dürfen, wenn diese auf interna- 
tionalen Abkommen basieren. Diese Re- 
gelung steht konzeptionell und inhaltlich 
im Konflikt mit dem Ende Februar 2016 
vorgestellten EU-US Privacy Shield zur 
Datenübermittlung von Europa in die 
USA, das zu exekutiven und judikativen 
Entscheidungen führen wird, die nicht 
auf internationalen Abkommen beruhen. 

Im Einzelfall können weiterhin Über- 
mittlungen ohne allgemeine Garantien 
erfolgen, etwa bei ausdrücklicher Ein- 
willigung, zur Vertragserfüllung, bei 
einem Betroffeneninteresse oder einem 
wichtigen öffentlichen Interesse, zur 
Durchsetzung von Rechtsansprüchen, 
zum Schutz lebenswichtiger Interessen 
oder in Rahmen einer Einzelentschei- 
dung, die aber geeignete Garantien vor- 
sehen muss. 


13 Aufsichtsbehörden, 
Kooperation und Kohärenz 


Dass es bisher massive Vollzugs- und 
Durchsetzungsdefizite im Datenschutz 
gibt, liegt u. a. daran, dass es keine ver- 
bindlichen Konfliktlösungsinstrumente 
zwischen den unabhängigen Daten- 
schutzbehörden gab. So konnten z. B. 
Unternehmen in einem Land von der 
dortigen unzureichenden Datenschutz- 
kontrolle profitieren. Dies wird durch 
Abstimmungszwänge in Zukunft er- 
schwert. Hinsichtlich der Einrichtung, 
der Rechtsstellung und den Aufgaben 
der Datenschutzbehörden selbst wur- 
de wenig geändert. Es erfolgen v. a. 
Konkretisierungen zur Unabhängigkeit 
(Art. 52), zur demokratischen Legiti- 
mation und fachlichen Qualifikation 
(Art. 43), zur Verschwiegenheit (Art. 54 
Abs. 2), zur Zuständigkeit (Art. 55), 
zu den sehr umfassenden Aufgaben 
(Art. 57) und zu den ebenso äußerst um- 
fassenden Befugnissen (Art. 58). Jeder 
Mitgliedstaat wird verpflichtet, die Auf- 
sichtsbehörde bzw. -behörden mit den 
benötigten „personellen, technischen 
und finanziellen Ressourcen“ auszustat- 
ten (Art. 52 Abs. 4), was angesichts der 
gewachsenen Aufgaben bei den Behör- 
den zu einer massiven Besserausstat- 
tung führen muss. 

Neu ist die Etablierung einer auf ein 
Unternehmen bezogenen federführen- 
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den Aufsichtsbehörde, welche die we- 
sentliche Datenschutzkommunikation 
mit einer verantwortlichen Stelle führt. 
Federführend ist die für die Hauptnie- 
derlassung in Europa zuständige Behör- 
de. Diese ist nur dann nicht zwingend 
zuständig, wenn der konkrete Vorgang 
ausschließlich den Zuständigkeitsbe- 
reich einer anderen Aufsichtsbehörde 
betrifft. Aber auch in diesem Fall kann 
die federführende Behörde den Vorgang 
innerhalb einer Frist von drei Wochen an 
sich ziehen (Art. 56). 

Handelt es sich um einen Vorgang, 
der mehrere Aufsichtsbehörden betrifft 
oder zieht die federführende Behörde 
den Fall an sich, so kommen die Re- 
gelungen zur Zusammenarbeit zur An- 
wendung (Art. 60). Dazu gehören die 
Amtshilfe für einzelne Fragestellungen 
oder Sachverhaltsermittlungen, wozu 
der angefragten Behörde regelmä- 
Big nur ein Monat zur Verfügung steht 
(Art. 61), ein umfassender zweckdienli- 
cher Informationsaustausch und die Vor- 
lage eines Beschlussvorschlags durch 
die federführende Behörde. Hiergegen 
kann eine andere betroffene Behörde 
innerhalb von vier Wochen Einspruch 
einlegen. Wird dem nicht abgeholfen, 
erfolgt das Kohärenzverfahren. Wurde 
kein Einspruch eingelegt, so sind alle 
betroffenen Behörden an den Beschluss 
gebunden, der dann gegenüber der 
(Haupt-)Niederlassung ergeht und dem 
Beschwerdeführer mitgeteilt wird. Eine 
einheitliche Beschwerde kann in Teil- 
beschlüsse aufgeteilt werden. Für die 
Zusammenarbeit wird ein gemeinsames 
elektronisches Kommunikationsverfah- 
ren genutzt (Art. 67). 

Eine besondere Form der Zusammen- 
arbeit besteht in gemeinsamen Maßnah- 
men (Art. 62). Diese erfolgen, wenn Be- 
schlüsse erhebliche Auswirkungen auf 
die Zuständigkeitsbereiche von meh- 
reren Behörden haben werden. Hierzu 
lädt eine Aufsichtsbehörde ein; jede be- 
troffene Behörde kann sich anschließen. 
Die teilnehmenden Behördenmitarbeiter 
erhalten dann Kompetenzen gemäß dem 
jeweils geltenden nationalen Recht. 

Im Kohärenzverfahren, also bei unter- 
schiedlichen Meinungen zu einem Be- 
schlussvorschlag, wird die Stellungnah- 
me des Europäischen Datenschutzaus- 
schusses (EDA) eingeholt. Außerdem 
kann jede Aufsichtsbehörde bei Angele- 
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genheiten mit allgemeiner Geltung oder 
Auswirkungen eine solche Stellung- 
nahme bewirken. Die Beschlussfassung 
erfolgt regelmäßig innerhalb von 8 Wo- 
chen mit einer einfachen Mehrheit der 
EDA-Mitglieder. Soweit erforderlich 
und zweckdienlich, werden Informati- 
onen übersetzt. Teilt eine Aufsichtsbe- 
hörde unter Angabe der maßgeblichen 
Gründe dem EDA mit, dass sie der 
EDA-Stellungnahme nicht folgt, so fin- 
det in einem weiteren Schritt eine Streit- 
beilegung durch den EDA statt (Art. 65). 
Diese erfolgt in Form eines innerhalb 
von einem Monat gefällten Beschlusses, 
für den eine 2/3-Mehrheit im EDA nötig 
ist. Die EDA-Beschlüsse werden auf der 
EDA-Webseite allgemein veröffentlicht. 

Abweichend vom Kohärenzverfahren 
kann eine betroffene Aufsichtsbehörde 
ein Dringlichkeitsverfahren durchfüh- 
ren, durch das einstweilige Maßnahmen 
mit einer Geltungsdauer von höchstens 
3 Monaten festgelegt werden (Art. 66). 

Der Europäische Datenschutzaus- 
schuss besteht aus den Leitern der Auf- 
sichtsbehörden, je einer pro Land. In 
Deutschland muss aus den föderalen 
Aufsichtsbehörden nach nationalen Re- 
geln ein Behördenleiter benannt wer- 
den (Art. 68). Hauptaufgabe des EDA, 
dem eine eigene Rechtspersönlichkeit 
zukommt, ist die Abgabe von Stellung- 
nahmen und die Beschlussfassung im 
Kohärenzverfahren. Daneben nennt 
Art. 70 viele weitere Aufgaben, u. a. 
die Beratung der Kommission, die Be- 
reitstellung von Leitlinien, Empfehlun- 
gen und Verfahren, die Förderung von 
Verhaltensregeln und Zertifizierungs- 
verfahren, die Akkreditierung von Zer- 
tifizierungsstellen, Stellungnahmen zum 
„angemessenen Schutzniveau“, die För- 
derung der Zusammenarbeit zwischen 
den Aufsichtsbehörden, einschließlich 
Information und Schulung des Personals 
sowie die Öffentlichkeitsarbeit. Geleitet 
wird der EDA von einem Vorsitzenden 
und zwei Stellvertretern, die mit ein- 
facher Mehrheit gewählt werden. Das 
EDA-Sekretariat wird beim Europäi- 
schen Datenschutzbeauftragten einge- 
richtet (Art. 75). 


14 Rechtsschutz und Sanktionen 


Bisher waren die national geregelten 
Rechtsschutz- und Sanktionsmöglich- 


keiten im Datenschutzrecht sehr be- 
grenzt. Im Safe-Harbor-Urteil hatte der 
EuGH schon Nachbesserungen einge- 
fordert. In diesem Bereich erfolgen in 
der EU-DSGVO nun sehr weitgehende 
Verbesserungen: 

So haben Betroffene nicht nur ge- 
genüber der Aufsichtsbehörde ein Be- 
schwerderecht (Art. 77). Sie erhalten 
zudem eine gerichtliche Rechtsbehelfs- 
möglichkeit gegen eine sie betreffende 
rechtsverbindliche Entscheidung sowie 
auch, wenn eine Beschwerde nicht in- 
nerhalb von drei Monaten behandelt 
wurde; die abschließende Entscheidung 
darf längere Zeit in Anspruch nehmen 
(Art. 78). Ein Informationsanspruch be- 
steht nicht nur zu den Verfahrensergeb- 
nissen, sondern auch zum Bearbeitungs- 
stand. Mit dem neuen Instrument kann 
ein Betroffener eine materiell-rechtlich 
korrekte Entscheidung gegenüber der 
Aufsichtsbehörde einklagen, was bisher 
nicht anerkannt, geschweige denn ef- 
fektiv realisiert war. Eine Rechtsschutz- 
möglichkeit besteht für den Betroffenen 
weiterhin — wie bisher — gegenüber der 
verantwortlichen Stelle oder dem Auf- 
tragsverarbeiter, wobei verbraucher- 
freundlich gegen private Verantwortli- 
che die Klage im Mitgliedstaat des Be- 
troffenen eingelegt werden kann. 

Neu ist eine Art Verbandsklage, bei 
der eine Einrichtung, Organisation oder 
Vereinigung die Rechte des einzelnen 
oder von vielen Betroffenen gericht- 
lich geltend machen kann. Darüber hi- 
naus besteht für die Mitgliedstaaten das 
Recht, unabhängig von Aufträgen von 
Betroffenen, Verbandsklagen zuzulas- 
sen (Art. 80). Entsprechendes erfolgte 
erst kürzlich in beschränktem Umfang 
in Deutschland. 

Um in Europa divergierende Ent- 
scheidungen bei parallelen Verfahren 
zu vermeiden, kann ein zuständiges 
Gericht sein Verfahren aussetzen, wenn 
derselbe Gegenstand vor einem anderen 
Gericht innerhalb des Geltungsbereichs 
der Verordnung anhängig ist. Es erfolgt 
dann eine Abstimmung zwischen den 
Gerichten oder eine Zusammenführung 
der Verfahren (Art. 81). 

Wie schon bisher (in Deutschland nur 
im privaten Bereich), haben die Auf- 
sichtsbehörden die Möglichkeit, War- 
nungen und Untersagungsverfügungen 
zu erlassen (Art. 58 Abs. 2 lit. a-h, j). 
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Daneben sind Sanktionen in Form 
von empfindlichen Geldbußen möglich, 
die „in jedem Fall wirksam, verhältnis- 
mäßig und abschreckend“ sein müssen 
(Art. 83 Abs. 1). Dafür benennt die Ver- 
ordnung eine Vielzahl von Sanktions- 
zumessungskriterien, die es künftig er- 
möglichen, über Vergleiche europaweit 
eine Angleichung bzw. Harmonisierung 
zu erreichen. Abhängig vom Verstoß 
können Geldbußen bis zu einer Höhe 
von 10 Mio. €, in besonderen Fällen bis 
zu 20 Mio. € bzw. „im Fall von Unter- 
nehmen von bis zu 2 % (4%) seines ge- 
samten weltweit erzielten Jahresumsat- 
zes des vorangegangenen Geschäftsjah- 
res“ verhängt werden. Ob und wenn ja, 
wie und in welchem Umfang Geldbußen 
bei Datenschutzverstößen durch öffent- 
liche Stellen verhängt werden können, 
bleibt den Mitgliedstaaten überlassen 
(Art. 83 Abs. 7). Sieht die Verordnung 
für bestimmte Verstöße keine Sanktio- 
nen vor, so bleibt es den Mitgliedstaaten 
vorbehalten, auch diese zu sanktionieren 
(Art. 84). 


15 Sonderregelungen 


In einigen Bereichen überlässt der 
europäische Verordnungsgeber es den 
Mitgliedstaaten, spezifische Regelungen 
zu erlassen und macht hierfür Vorgaben. 
Dies gilt für die Datenverarbeitung „zu 
journalistischen Zwecken und zu wis- 
senschaftlichen, künstlerischen oder li- 
terarischen Zwecken“ (Art. 85), für den 
Zugang der Öffentlichkeit zu amtlichen 
Dokumenten (Art. 86), die Verwendung 
einer nationalen Kennziffer (Art. 87), 
die Datenverarbeitung im Beschäftigten- 
kontext (Art. 88) und die Verarbeitung 
„zu im öffentlichen Interesse liegenden 
Archivzwecken, zu wissenschaftlichen 
und historischen Forschungszwecken 
und zu statistischen Zwecken“ (Art. 89). 

Auf zunächst geplante Sonderrege- 
lungen zur Verarbeitung im öffentlichen 
Sektor generell, was die Bundesregie- 
rung lange gefordert hatte (Art. 80aa im 
Entwurf), sowie für Gesundheitszwecke 
(Art. 80b im Entwurf) wurde verzichtet, 
weil nationale Normierungsbefugnisse 
schon in die materiellen Regelungen 
(Art. 6 Abs. 3, Art. 9 Abs. 2, Art. 10) 
aufgenommen worden sind. Europä- 
isch oder national geregelte (berufli- 
che) Geheimhaltungspflichten können 


DANA » Datenschutz Nachrichten 2/2016 


neben dem Datenschutzrecht weiter- 
hin Anwendung finden. Dies betrifft in 
Deutschland beispielsweise den $ 203 
StGB und bereichsspezifische Konkreti- 
sierungen etwa im Anwalts-, Arzt- oder 
Notarrecht (Art. 90). Das in Deutsch- 
land geltende Kirchenprivileg zur Nor- 
mierung des Datenschutzes soll weiter- 
bestehen, soweit die Vorschriften „mit 
dieser Verordnung in Einklang gebracht 
werden“ (Art. 91). 

Im Kommissionsentwurf war noch 
vorgesehen, dass die EU-Kommission 
eine Vielzahl von Befugnissen zum Er- 
lass delegierter Rechtsakte erhält. Diese 
Möglichkeiten wurden weitgehend ein- 
geschränkt, sind aber in einem gewissen 
Rahmen weiterhin vorgesehen (Art. 92). 

In Art. 97 ist eine regelmäßige Evalu- 
ation der Verordnung vorgesehen, deren 
Ergebnis erstmals spätestens vier Jah- 
re nach Inkrafttreten vorgelegt werden 
muss. 


16 Ausblick 


Die EU-DSGVO wird am 25.05.2018 
in Kraft treten. 


Der Anspruch der Verordnung, ein 
EU-weit einheitliches Datenschutzni- 
veau festzulegen, wurde in vielen Be- 
reichen nicht erreicht. Die EU-DSGVO 
enthält viele Öffnungsklauseln, durch 
die Mitgliedstaaten voneinander ab- 
weichende Regelungen erlaubt werden. 
Dieses Regelungskonzept war ange- 
sichts der bisher bestehenden, stark di- 
vergierenden nationalen Regelungen 
unvermeidbar. Viele Mitgliedstaaten 
forderten, bestimmte, aus ihrer Sicht 
bewährte Mechanismen beizubehalten. 
Dies gilt insbesondere auch für die Re- 
gierung Deutschlands, wo derzeit das 
europaweit wohl am stärksten ausdiffe- 
renzierte Datenschutzrecht besteht. Das 
Resultat, eine auch zukünftige begrenz- 
te Heterogenität, war auch deshalb nicht 
zu vermeiden, weil differenziertere Re- 
gelungen den EU-Gesetzgeber zweifel- 
los überfordert hätten. 

Diese Heterogenität wird aber in kei- 
ner Weise zementiert. Eine vereinheit- 
lichende Wirkung kann schon dadurch 
erreicht werden, dass durch diverse 
Meldepflichten gegenüber der Kommis- 
sion ein Überblick über divergierende 
Regelungen verschafft wird. Da viele 


Öffnungsklauseln sich nicht nur an die 
nationalen, sondern auch an den EU-Ge- 
setzgeber wenden, besteht die Aussicht, 
dass die EU weitere — bereichsspezifi- 
sche — Regelungen erlässt. 

Vorläufig ist es sehr wahrscheinlich, 
dass auslegungsbedürftige Regelungen 
in der Verordnung national oder gar 
regional von Anwendern, Aufsichtsbe- 
hörden und Gerichten unterschiedlich 
ausgelegt werden. Durch die Vorlage- 
möglichkeit beim EuGH nach Art. 267 
AEUV sowie generell durch die Recht- 
sprechung des EuGH - etwa in Fällen 
des Art. 263 AEUV - kommt diesem 
Gericht auf lange Sicht eine wichtige, 
rechtsvereinheitlichende Funktion zu. 

Die deutschen Gesetzgeber in Bund 
und Ländern — wie auch die der ande- 
ren Mitgliedsländer — sind aufgefordert, 
ihre bisherigen Datenschutzregelungen 
bis zum Inkrafttreten der Verordnung 
anzupassen. Dies bedeutet, dass das 
BDSG sowie die Landesdatenschutzge- 
setze zu Ausführungsgesetzen der EU- 
DSGVO umgestaltet werden müssen. 
Eine erste Meinungsbildung hierzu fand 
am 24.02.2016 im Ausschuss „Digita- 
le Agenda“ des Deutschen Bundestags 
statt. So können unter Anknüpfung an 
die Verordnung nationale Besonderhei- 
ten bewahrt bleiben, wie z. B. die teil- 
weise weitergehenden Regelungen zum 
betrieblichen Datenschutzbeauftragten 
in Deutschland. Dieser Pluralismus in- 
nerhalb der EU kann und sollte für einen 
europäischen Föderalismus befruchtend 
sein und den Wettbewerb um die bes- 
ten Datenschutzinstrumente befördern. 
Bereichsspezifische Regelungen — vom 
Aufenthaltsgesetz bis zu den Statistik- 
gesetzen — sind daraufhin zu überprüfen, 
ob sie weiterhin mit der EU-DSGVO 
vereinbar sind. 

Die vielfältigen Öffnungsregelungen 
belassen den nationalen Gesetzgebern in 
den Mitgliedstaaten einen teilweise noch 
sehr weitgehenden Regelungsspielraum. 
Diese Öffnungsregelungen beschränken 
sich nicht darauf, die allgemeinen Rege- 
lungen der EU-DSGVO zu präzisieren. 
Nationale Gesetzgeber können durch in- 
novative Gesetzgebung auch als Vorbild 
für andere Mitglieder der EU dienen 
und dadurch den digitalen Grundrechts- 
schutz voranbringen. Dies ist etwa im 
Bereich des Beschäftigtendatenschutzes 
möglich und wünschenswert. Innova- 
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tionsbedarf besteht aber nicht nur hier, 
sondern in praktisch allen Bereichen der 
personenbezogenen Datenverarbeitung. 

Der EU ist mit der EU-DSGVO zwei- 
fellos ein fortschrittliches Regelwerk 
zum Datenschutz gelungen. Dieses hat 


aber weiterhin Defizite, die sich mögli- 
cherweise erst bei der Anwendung er- 
weisen. Die technische, ökonomische 
und soziale Entwicklung fordert schon 
heute und laufend weitere Ergänzungen 
und Modifikationen, mit denen der digi- 


Sabine Leutheusser-Schnarrenberger 


Entscheidung des EuGH zum sog. 
Vergessenwerden 


Das Urteil des Europäischen Gerichts- 
hofs (EuGH) vom 13. Mai 2014,! in dem 
das Gericht zwar nicht ausdrücklich, 
aber nach Meinung vieler Kommentato- 
ren, ein „right to be forgotten“, ein sog. 
Recht auf Vergessenwerden, eingeführt 
hat, hat in die Diskussion der Verant- 
wortlichkeit für im Internet verbreitete 
und zugänglich gemachte Inhalte eine 
neue Dimension gebracht. 

Der EuGH hat der millionenfachen 
Verbreitung privater Informationen, 
auch wenn sie zutreffend sind, mit Hilfe 
des Datenschutzes und des Rechts auf 
Schutz der Privatsphäre einen begrenzt 
wirkenden Riegel vorgeschoben. Er 
verteilt die Verantwortung auf Betei- 
ligte an der digitalen Kommunikation 
und hat deshalb den Suchmaschinen- 
betreibern, die eine Schlüsselstellung 
beim schnellen und leichten weltweiten 
Zugriff auf die gesuchten Informatio- 
nen einnehmen, die Verpflichtung zur 
Löschung von Links unter bestimmten 
Voraussetzungen auferlegt. Der EuGH 
hat mit dieser Entscheidung Neuland 
betreten und sich institutionell neu po- 
sitioniert. 


Sachverhalt 


Ausgangspunkt des beim Europäi- 
schen Gerichtshof durchgeführten Ver- 
fahrens war ein an die spanische Da- 
tenschutzbehörde AEPD (Agencia Es- 
panola de Proteccion de Datos) gerich- 
teter Antrag eines spanischen Klägers, 
Google-Spain zu verpflichten, einen bei 
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namensbasierter Google-Suche in den 
Suchergebnissen enthaltenen Link zu 
einem 1998 erschienenen Artikel der 
spanischen Zeitschrift La Vanguardia zu 
löschen, in dem von einer Zwangsver- 
steigerung einer dem Kläger gehören- 
den Immobilie bei Nennung des Kläger- 
namens berichtet wurde. Die spanische 
Datenschutzbehörde AEPD hatte dem 
Antrag des Klägers stattgegeben und 
Google-Spain angewiesen, die erforder- 
lichen Maßnahmen zu ergreifen, um die 
den Kläger betreffenden personenbezo- 
genen Daten aus der Suchergebnisliste 
zu entfernen und den Zugang zu diesen 
Daten in Zukunft zu verhindern. Gegen 
diese Anweisung legte Google-Spain 
beim zuständigen spanischen Gericht, 
des Audiencia Nacional, Beschwerde 
ein, das seinerseits das Verfahren aus- 
setzte und den Sachverhalt zur Vor- 
abentscheidung dem Europäischen Ge- 
richtshof vorlegte. 

Die von dem spanischen Gericht dem 
EuGH zur Vorabentscheidung vorgeleg- 
ten Fragen betreffen die Auslegung und 
die Anwendung der in der Europäischen 
Datenschutzrichtlinie 95/46/EG? ent- 
haltenen Bestimmungen auf Internet- 
Suchmaschinen. 

Aus der Begründung der Entschei- 
dung ist ziemlich deutlich zu entneh- 
men, dass der Europäische Gerichtshof 
international agierende Konzerne für 
ihre Tätigkeit innerhalb der Europäi- 
schen Union zur Einhaltung europäi- 
schen Rechts verpflichten will. In Aus- 
legung der europäischen Datenschutz- 


tale Grundrechtsschutz fortgeschrieben 
werden kann und muss. Der Ball liegt 
also nun wieder im Feld der nationa- 
len Gesetzgeber, die auf der sicheren 
Rechtsgrundlage der aktuellen EU-DS- 
GVO aufsetzen können und sollten. 


Recht auf 


richtlinie hat der Gerichtshof damit be- 
reits das Marktortprinzip entwickelt, das 
der europäische Gesetzgeber nunmehr 
in der Ende letzten Jahres verabschiede- 
ten Datenschutzgrundverordnung’, die 
mit Gültigwerden im Jahr 2018 die eu- 
ropäische Datenschutzrichtlinie ablösen 
wird, verankert hat. 

Art. 17 der DS-GVO!% setzt diese Ent- 
scheidung des EuGH um und begründet 
ein Recht auf Löschung der sie betref- 
fenden personenbezogenen Daten ge- 
genüber dem Verantwortlichen in un- 
terschiedlichen Fallkonstellationen, zu 
denen u.a. gehört, wenn der ursprüng- 
liche Zweck nicht mehr besteht (Art. 17 
Abs. I a), die Einwilligung widerrufen 
worden ist oder wenn eine Rechtsgrund- 
lage für die Verarbeitung fehlt (Art. 17 
Abs. 1 b), oder wenn bei Widerspruch 
gegen die Verarbeitung keine vorrangi- 
gen berechtigten Gründe für die Verar- 
beitung vorliegen (Art. 17 Abs. 1 c). 

Damit entfällt die frühere juristische 
Argumentation, mangels Sitz in der EU 
gelte das „strenge“ europäische Da- 
tenschutzrecht nicht. Und es wird der 
beliebten Praxis der internationalen 
IT-Konzerne ein Riegel vorgeschoben, 
mit der Sitzwahl eines Konzerns in 
der EU sich das auf niedrigstem Ni- 
veau bewegende Datenschutzrecht ei- 
nes EU-Mitgliedstaates auszusuchen. 
Es wird künftig datenschutzrechtlich 
nichts mehr bringen, sich in Dublin 
anzusiedeln, wie das derzeit Facebook, 
Google und viele andere internationale 
Konzerne tun. 
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Löschungspflichten 


Die Löschungspflichten des Suchma- 
schinenbetreibers betreffen jede von 
der Verarbeitung ihrer Daten betroffene 
Person, die von dem für die Verarbei- 
tung Verantwortlichen „je nach Fall eine 
Berichtigung, Löschung oder Sperrung“ 
der Daten verlangen kann, wenn die Ver- 
arbeitung nicht den Bestimmungen der 
Richtlinie entspricht, insbesondere wenn 
sie unvollständig oder unrichtig ist.’ 

Die Verarbeitung der Daten entspricht 
nicht nur dann nicht der Richtlinie, wenn 
diese sachlich unrichtig sind, sondern u. 
a. auch dann, wenn sie den Zwecken der 
Verarbeitung nicht entsprechen, dafür 
nicht erheblich sind, darüber hinausge- 
hen, nicht auf dem neuesten Stand sind 
oder länger als erforderlich aufbewahrt 
werden, es sei denn, ihre Aufbewahrung 
ist für historische, statistische oder wis- 
senschaftliche Zwecke erforderlich. 

Die Pflicht zur Löschung entfällt je- 
doch dann, wenn sich aus besonderen 
Gründen — wie die Rolle der betroffenen 
Person im öffentlichen Leben — ergibt, 
dass der Eingriff in die Grundrechte der 
Person durch ein überwiegendes öffent- 
liches Interesse daran, über die Einbezie- 
hung in die Suchmaschinen-Ergebnisliste 
Zugang zu den enthaltenen Informatio- 
nen zu haben, gerechtfertigt ist.‘ 

Es sollen also gerade nicht Prominen- 
te und öffentliche Personen der Zeitge- 
schichte in die Lage versetzt werden, 
ihre Lebensläufe und ihr Wirken kor- 
rigieren zu können. Was unliebsam ist 
und nicht mehr in die politische oder 
wirtschaftliche Agenda passt, soll nicht 
durch Löschen der Links dem einfachen 
Zugriff entzogen werden. 

Dieser Ansatz greift die zur Mei- 
nungs- und Äußerungsfreiheit ent- 
wickelten Grundsätze der Rechtspre- 
chung auf. Die im Spannungsfeld 
stehenden Grundrechte der informati- 
onellen Selbstbestimmung, des Schut- 
zes der Privatsphäre und der eigenen 
Persönlichkeit auf der einen Seite und 
der Meinungs- und Pressefreiheit auf 
der anderen Seite sind durch höchst- 
richterliche Rechtsprechung sorgfältig 
austariert worden. Das berechtigte In- 
teresse der Öffentlichkeit an Informati- 
onen schränkt danach unter bestimmten 
Voraussetzungen den Persönlichkeits- 
rechtsschutz ein. 
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Kritik an dieser Entscheidung des 
EuGH wird aus dem Vorwurf der unzu- 
reichenden Abwägung mit dem Recht 
der Meinungs- und Äußerungsfreiheit- 
freiheit hergeleitet.’ 

Der EuGH habe in seiner Entschei- 
dung der Bedeutung dieses für die De- 
mokratie konstitutiven Grundrechts zu 
wenig Bedeutung beigemessen. Wenn 
nur noch von der Perspektive des Rechts 
auf informationelle Selbstbestimmung 
her gedacht werde, würde das an die 
Tradition der Aufklärung anknüpfende 
individuelle Recht auf freie Meinungs- 
äußerung, das nicht unter einem wie 
auch immer gearteten Vorbehalt des 
öffentlichen Interesses stehe, im Kern 
geschwächt. 

Diese Kritik, die nicht leichtfertig 
abgetan werden darf, verkennt jedoch, 
dass der EuGH sich in dieser Entschei- 
dung nicht mit der Löschung der pres- 
serechtlichen Veröffentlichung befasst, 
sondern mit dem Zugang zu Presse- 
artikeln und anderen online Publika- 
tionen mittels einer namensbasierten 
Recherche durch eine Suchmaschine. 
Der Artikel selbst bleibt bestehen und 
wird nur etwas schwieriger auffind- 
bar. Deshalb handelt es sich eher um 
ein Recht des Betroffenen, sich besser 
dem öffentlichen Zugriff entziehen zu 
können. 


Zwei Grundsätze für den 
Löschungsanspruch 


Die Entscheidung enthält keinen aus- 
führlichen Kriterienkatalog für die Lö- 
schung, was angesichts des einfachen 
zugrunde liegenden Sachverhalts auch 
nicht geboten war. 

Zwei Grundsätze sind hervorzuheben: 

1. Wirtschaftliche Interessen der Such- 
maschinenbetreiber haben bei diesen 
Löschanträgen generell keinen Vorrang. 

Die digitale Kommunikation ver- 
schiebt zwar die Abgrenzung zwischen 
privat und öffentlich, aber der Schutz 
der eigenen Daten und der Privatsphä- 
re werden und dürfen nicht aufgege- 
ben werden. Ihm wird vom EuGH ein 
grundsätzlicher Vorrang vor den wirt- 
schaftlichen Interessen der Suchmaschi- 
nenbetreiber eingeräumt, es sei denn, es 
liegt ein überwiegendes öffentliches In- 
teresse an dem Zugang zu diesen Daten 
durch namensbasierte Recherche vor. 


Damit muss eine Abwägung zwischen 
dem berechtigten Schutz des Daten- 
schutzsubjekts an einer zweckgebunde- 
nen Verwendung seiner Daten und dem 
Interesse der Öffentlichkeit an Informa- 
tion stattfinden. 

Festzuhalten ist, dass nicht die mit 
teilweise marktbeherrschender Stellung 
agierenden IT-Konzerne die uneinge- 
schränkte Definitionshoheit darüber 
haben, was von ihnen an vorgegebenen 
Informationen verarbeitet und verbreitet 
wird, sondern dass sie an die europäisch 
geltenden Grundrechte gebunden sind. 

2. Der Antragsteller darf nicht dar- 
auf verwiesen werden, zuerst gegen die 
Journalisten und deren Verlag wegen 
Verletzung des Persönlichkeitsrechts 
und des Datenschutzrechtes durch die 
Publikation vorzugehen. Die Ansprüche 
auf Delisting gegen die Suchmaschinen- 
betreiber und auf mögliche inhaltliche 
Korrektur gegen die Contentverant- 
wortlichen bestehen nebeneinander und 
haben auch unterschiedliche Vorausset- 
zungen. Sie sind nicht inhaltlich vonei- 
nander abhängig, denn auch rechtmäßi- 
ge frühere Berichterstattung kann nach 
der Entscheidung des EuGH zu einem 
berechtigten Löschantrag führen. 

An dieser Stelle nimmt der europäi- 
sche Gesetzgeber eine Einschränkung 
vor. Nach Art. 17 Abs. 1 d DS-GVO 
besteht nur bei unrechtmäßiger Ver- 
arbeitung der personenbezogenen Da- 
ten ein Löschungsanspruch. Damit soll 
wohl Problemen begegnet werden, die 
in einem Auseinanderfallen der Recht- 
sprechung zum Äußerungsrecht in 
Abwägung mit dem Persönlichkeits- 
rechtsschutz und dem Datenschutz- 
recht liegen können. Keine ausdrück- 
liche Regelung ist damit zu der Frage 
getroffen worden, in der nach einer 
rechtmäßigen Erfassung und Verarbei- 
tung der Daten sich durch Zeitablauf 
ein anderer Sachverhalt ergeben hat 
und die ursprüngliche rechtmäßige Er- 
fassung aktuell mit der tatsächlichen 
Situation nicht in Einklang zu brin- 
gen ist. Genau darum ging es ja in der 
Entscheidung des EuGH. Ein im Jahr 
1998 insolventer Unternehmer wurde 
Jahre später wieder solvent und sollte 
in Zukunft davor geschützt werden, 
bei einer Recherche mit seinem Na- 
men immer wieder mit Insolvenz in 
Verbindung gebracht zu werden. Bei 


57 


noch sensibleren Daten wie zum Bei- 
spiel der sexuellen Orientierung und 
der Veränderung des Geschlechts ist 
das Persönlichkeitsrecht des Betroffe- 
nen noch stärker berührt. Ob in diesen 
Fällen ein Anspruch gegen den Con- 
tentverantwortlichen auf Streichung 
der personenbezogenen Angaben we- 
gen Verletzung des Persönlichkeits- 
rechtes besteht und auch durchgesetzt 
werden kann, kommt auf die Situation 
im Einzelfall an. Gerade diesen Pro- 
blemen wollte der EuGH mit seiner 
Argumentation, dass unabhängig von 
der Rechtmäßigkeit der Ersterfassung 
ein Löschungsanspruch bestehen soll, 
wenn die Angaben „inadäquat, ir- 
relevant, no longer relevant or exces- 
sive“ sind,® begegnen und begründete 
auch damit die Verantwortlichkeit der 
Suchmaschinenbetreiber. Es bleibt ab- 
zuwarten, wie sich nach Inkrafttreten 
der DS-GVO die Entscheidungspraxis 
der Suchmaschinenbetreiber und da- 
mit besonders von Google entwickeln 
wird. 

Art. 17 DS-GVO enthält auch kei- 
nen abschließenden oder beispielhaft 
aufgeführten Kriterienkatalog für den 
Löschungsanspruch, so dass es auf die 
Gesamtbewertung des Sachverhalts an- 
kommt, aber auch die Entscheidung des 
EuGH berücksichtigt werden muss. 

Danach steht am Beginn der Ent- 
scheidungsfindung die Frage, ob es 
sich bei der betroffenen Person um 
eine Person des Öffentlichen Lebens 
handelt, also um eine absolute oder re- 
lative Person der Zeitgeschichte oder 
um eine Privatperson. Das ist die erste 
Weichenstellung, denn bei Bejahung 
dieses Kriteriums wird die Abwägung 
in Richtung Ablehnung eines Lösch- 
begehrens gestellt. Bei der Abwägung 
spielt auch eine Rolle ob der Antrag- 
steller die Information selbst preis ge- 
geben hat und damit sein Einverständ- 
nis erklärt haben kann und die Seriosi- 
tät der Quelle. 

Welche Rolle künftig der Zeitfaktor 
beim Löschungsanspruch spielen wird, 
ist angesichts der Anforderung der 
Unrechtmäßigkeit der Datenerfassung 
neu zu bewerten. Die einfache Formel, 
dass je weiter eine Berichterstattung 
zeitlich zurückliegt, das Löschbegeh- 
ren umso berechtigter ist, wird nicht 
mehr greifen. 
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Verfahren 


Der Suchmaschinenbetreiber, in die- 
sem Fall Google, entscheidet allein über 
den Löschungsantrag. An dieser Rolle 
von Google entzünden sich viele Diskus- 
sionen. Die Bedenken richten sich gegen 
die starke Stellung, die Google damit 
erlangen würde. Außerdem könne der 
Gegner des Löschungsanspruchs nicht 
auch Entscheider sein. Diese Argumen- 
tation lässt unberücksichtigt, dass es in 
einem zivilrechtlichen Verfahren dem 
Anspruchsgegner nicht verwehrt werden 
kann, dem Begehren stattzugeben oder es 
abzulehnen. Man kann auch nicht Goog- 
le datenschutzrechtlich in die Pflicht 
nehmen und sich dann darüber beklagen, 
wenn das Unternehmen dieser Verpflich- 
tung nachkommt. Der Entscheidung 
muss aber eine fundierte Abwägung über 
die im Spannungsverhältnis stehenden 
Grundrechte zu Grunde liegen. 

In diesem Kontext spielen Verfahrens- 
regeln eine Rolle, die dem Inhaltsver- 
antwortlichen Gelegenheit zur Stellung- 
nahme vor der Entscheidung geben und 
ihm eine Beteiligtenstellung einräumen 
würden. 

Das war die Haltung des Google Bei- 
rats zum sog. Recht auf Vergessenwer- 
den, der im Juni 2014 von Google ein- 
gerichtet wurde und mit einem Bericht 
Empfehlungen zur Umsetzung des Ur- 
teils des EuGH erarbeitet hat.’ 

In Art. 19 der europäischen Daten- 
schutz-Grundverordnung'° sind nun 
Mitteilungspflichten der Verantwort- 
lichen der Datenverarbeitung an alle 
Empfänger, denen personenbezogene 
Daten offengelegt wurden, im Fall der 
Löschung oder Beschränkung vorge- 
sehen, es sei denn, der Aufwand wäre 
unverhältnismäßig oder die Mitteilung 
erweist sich als unmöglich. Und weiter- 
gehend wird auch den Verantwortlichen, 
die diese personenbezogenen Daten erst 
öffentlich gemacht haben, also auch 
den Contentverantwortlichen im Sinne 
des Äußerungsrechts, die Verpflichtung 
auferlegt, dies den Datenverarbeitern, 
also auch den Suchmaschinenbetrei- 
bern, mitzuteilen und sie zur Löschung 
der Links zu den Artikeln aufzufordern. 
Das soll dem sog. Recht auf Vergessen 
im Netz größere Geltung verschaffen 
(Art. 19 Abs. 2 DS-GVO). Das bedeu- 
tet letztendlich, dass nicht nur der Be- 


troffene der personenbezogenen Da- 
tenerfassung und -verarbeitung einen 
Löschungsanspruch gegen den Vermitt- 
ler hat, sondern alle Beteiligten in die 
Pflicht genommen werden. 


Reichweite der Löschungs- 
entscheidung 


Zur Reichweite des Löschungsbegeh- 
rens gibt es auch in der DS-GVOkeineRe- 
gelung. Dies ist derzeit ein weiterer Streit- 
punkt und wurde auch im Google Beirat 
unterschiedlich gesehen. Die EuGH- 
Entscheidung befasst sich mangels Be- 
gehr nicht damit, ob nur europäische 
Domains oder weltweit alle Domains 
gelöscht werden müssen. Es ging in der 
Entscheidung nur um die Löschung der 
spanischen Domain. Aber was bringt 
ein erfolgreicher Löschantrag in Spa- 
nien, wenn der betroffene Artikel von 
Deutschland, Frankreich oder anderen 
europäischen Mitgliedstaaten aus unter 
Benutzung des Namens gefunden wer- 
den kann? Nach Auffassung des Google 
Beirates müssen in jedem Fall alle euro- 
päischen Domains entfernt werden. 

Das war dennoch bisher nicht die Pra- 
xis von Google. Auf Grund eines Ver- 
fahrens in Frankreich hat Google seine 
Praxis ändern müssen. 

Google wird unter anderem die IP 
nutzen, um das „Aufrufs“-Land zu be- 
stimmen. Nach Mitteilung von Google 
funktioniert das dann wie folgt: Stellt 
jemand einen erfolgreichen Antrag aus 
einem Mitgliedstaat der EU und wird 
dieser genehmigt, werden Suchergeb- 
nisse diesen Inhalt in diesem Land nicht 
mehr anzeigen, egal ob von der Google- 
Landesdomain aus gesucht wird oder 
über die Domain eines anderen Landes. 
Außerhalb des Landes ist der Inhalt wie- 
derum über alle Google-Domains auf- 
findbar. Wie Google mit VPN-Diensten 
umgeht, ist damit nicht ganz klar, da 
die Landeskennung nicht anhand der IP 
möglich ist, aber vielleicht ist die IP nur 
als Beispiel für die Erfassung des Stand- 
ortes genannt. 

Die Suche außerhalb der Länder 
bringt weiterhin alle Suchergebnisse 
hervor. Die Suche mittels Google.com 
zeigt weiterhin alle Suchergebnisse an. 
Angeblich würden nur 5% aller Such- 
anfragen aus Europa über Google.com 
durchgeführt. 
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Genau daran entzündete sich auch die 
kontroverse Debatte im Google Beirat. 

Nach meiner Auffassung und der 
der Datenschutzexperten in Deutsch- 
land und in der Art. 29 Data Protection 
Working Party!' kann bei einem globa- 
len Internet ein wirkungsvoller Schutz 
auch nur mit globalem, also weltweiten 
Delisting der Links, also z.B. auch in 
den USA erreicht werden. Das lehnte 
Google ab. Jetzt hat vor kurzem Goog- 
le seine Praxis noch einmal geändert. 
Mittels Geoblocking'* will Google 
verhindern, dass europäische Nutzer 
über Google.com Suchergebnisse er- 
halten, die aus Datenschutzgründen auf 
den nationalen Seiten des Konzerns in 
Europa ausgeblendet werden. Damit 
versucht Google, eine Lücke bei der 
Handhabung des Urteils des EuGH zu 
schließen. 


Praxis von Google 


Nachdem Google zunächst die Ent- 
scheidung stark kritisiert hatte, hat sich 
das Unternehmen jetzt den Gegebenhei- 
ten gestellt und seine Infrastruktur in den 
Mitgliedstaaten entsprechend angepasst. 

Es sind insgesamt in der EU seit dem 
14. Mai 2014 ca 400.000 (398.244) 
Anträge auf Löschung eines Links zu 
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EU-DS-GVO: 


Artikeln mit der Namensnennung des 
Antragstellers eingegangen, die euro- 
paweit über 1.401.670 URLs betreffen, 
davon in Deutschland mit ca 68.600 
(249.000 URLs) die zweitmeisten nach 
Frankreich (ca 85.000, 280.608 URLs). 
Durchschnittlich werden europaweit ca 
43% der Anträge (508.300 URLs) ge- 
löscht und 57% der Anträge (684.300 
URLS). 

Das hört sich viel an, ist mit Blick auf 
500 Mio. Bürgerinnen und Bürger der 
EU aber doch nicht so umfangreich wie 
in den ersten Wochen nach der Entschei- 
dung befürchtet worden war. 

Da über die Löschanträge bei ande- 
ren Suchmaschinenbetreibern (z.B. Mi- 
crosoft) keine Statistik vorliegt, ist die 
Summe aller Anträge nicht bekannt. 


Fazit 


Die bedeutende Entscheidung des 
EuGH zur Verantwortlichkeit der Zu- 
gangsvermittler stärkt das Datenschutz- 
recht des Nutzers. Dies bezwecken auch 
die Regelungen in der europäischen 
Datenschutzgrundverordnung zum sog. 
Recht auf Vergessen. Welche Auswir- 
kungen sie haben werden und wie sich 
die rechtliche und technische Praxis ent- 
wickeln wird, bleibt abzuwarten. 


l Urteil des Gerichtshofs vom 13. Mai 
2014, Rechtssache C-131/12 


2 Richtlinie 95/46/EG des Europäischen 
Parlaments und des Rates zum Schutz 
natürlicher Personen bei der Verarbei- 
tung personenbezogener Daten und zum 
Schutz des freien Datenverkehrs vom 24. 
Oktober 1995 


3 Rat der EU, Brüssel 6. April 2016, 
5419/16, Verordnung zum Schutz 
natürlicher Personen..., Datenschutz- 
Grundverordnung 


a.a.O. unter 3, Seite 140 
GH, a.a.0. FN 38, Ziffer 70 
GH. a.a.O., Ziffer 97 
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Prof. Dr. Kai von Lewinski, Staat als 
Zensurhelfer — Staatliche Flankierung 
der Löschpflichten Privater nach dem 
Google-Urteil des EuGH, AfP 2015, 1ff 


8 EuGH a.a.O., Ziffer 94 


9 Report des Google Advisory Council, 
www.google.com 


10 a.a.O., Seite 143 


11 88. Konferenz der Datenschutzbeauf- 
tragten des Bundes und der Länder am 8. 
und 9. Oktober 2014 in Hamburg, Article 
29 Data Protection Working Party 14/EN 
WP 225 vom 26. November 2014 


12 http://www.heise.de/newsticker/meldung/ 
Google-setzt-Recht-auf-Vergessen- 
in-der-EU-schaerfer-durch-3098801. 
html?view>print 


Neue Anforderungen an die Einwilligung? 


Am 05.05.2016 wurde die EU-DS- 
GVO nunmehr im EU-Amtsblatt veröf- 
fentlicht und tritt damit 20 Tage später 
in Kraft. Wirkung entfaltet sie aller- 
dings erst 24 Monate später, also zum 
25.05.2018. Damit liegt die finale Fas- 
sung der EU-DS-GVO vor, die Einwilli- 
gung als eine Möglichkeit, eine Daten- 
verarbeitung zu legitimieren, spielt wei- 
terhin eine wichtige Rolle. Rund um die 
Einwilligung stellen sich eine Reihe von 
Fragen, insbesondere dazu, was sich 
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aus deutscher Sicht ändert oder gleich 
bleibt. Dies betrifft z.B. die formalen An- 
forderungen oder die Thematik der Frei- 
willigkeit. Daneben ist eine sehr wichti- 
ge Frage, was mit „Alt-Einwilligungen“ 
nach dem BDSG passiert: Bleiben diese 
auch nach dem 25.05.2018 wirksam? 
Oder müssen sie neu eingeholt werden? 
Der Beitrag gibt einen Überblick über 
die Änderungen und wirft einen Blick 
auf die Frage eines etwaigen Bestands- 
schutzes. 


Einleitend: Zur Bedeutung der 
Einwilligung in der EU-DS-GVO 


Bevor ein Blick auf die Änderungen 
zu werfen ist, bleibt festzuhalten, dass 
das bisherige datenschutzrechtliche Ver- 
botsprinzip auch in der EU-DS-GVO 
bestehen bleibt: Danach ist jede Verar- 
beitung von personenbezogenen Daten 
verboten, soweit nicht entweder über 
eine gesetzliche Datenverarbeitungser- 
laubnis gestattet oder — wenn es keine 
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gesetzliche Erlaubnis gibt — über eine 
vom Betroffenen erteilte Einwilligung 
legitimiert ist, die die gewünschte Da- 
tenverarbeitung umfasst. Liegt weder 
eine gesetzliche Erlaubnis noch eine 
Einwilligung vor, ist die gewünschte 
Datenverarbeitung unzulässig. 

Damit kommt der Einwilligung als 
eines der beiden Legitimationsmittel 
unverändert hohe Bedeutung zu. Dies 
gilt umso mehr, als dass der Einzelne es 
gerade über eine Einwilligung selbst in 
der Hand hat, zu bestimmen, was andere 
Stellen, wie etwa Firmen, über ihn wis- 
sen und mit „seinen“ Daten an Verarbei- 
tung durchführen dürfen. 


Wo finden sich Regelungen zur 
Einwilligung in der EU-DS-GVO? 


In der EU-DS-GVO finden sich die 
Regelungen zur Einwilligung in nur 
einem Artikel, nämlich Art. 7 EU-DS- 
GVO. Dies erscheint relativ knapp, be- 
trachtet man die zentrale Rolle, die der 
Einwilligung zukommt. 

Der EU-DS-GVO sind aber sehr 
umfänglich sog. Erwägungsgründe vo- 
rangestellt, in denen der europäische 
Gesetzgeber seine Gedanken und „Er- 
wägungen“ zusammengefasst darstellt. 
Dabei gilt die Besonderheit, dass die 
Erwägungsgründe Teil des europäischen 
Gesetzes, hier also der EU-DS-GVO 
und damit ebenso rechtswirksam sind. 
Mit anderen Worten: Die Erwägungs- 
gründe müssen jeweils „mitgelesen“ 
und bei der Auslegung der einzelnen 
Artikel beachtet werden. Zur Einwilli- 
gung finden sich in einigen Erwägungs- 
gründen sogar ausführliche Hinweise, 
die zu einer Reihe von praxisrelevan- 
ten Fragen Informationen enthalten. Es 
sind insbesondere die Erwägungsgründe 
Nr. 32, 42, 43 und — was die Frage des 
Bestandsschutzes angeht - Nr. 171. 


Was ändert sich also bei den 
Einwilligungen? 


Das deutsche BDSG ist sehr streng, 
was die Anforderungen und Vorgaben an 
eine wirksame Einwilligung angeht, zum 
Teil strenger als die EU-Datenschutz- 
Richtlinie von 1995. Insofern liegen aus 
deutscher Sicht bei den Neuregelungen 
der EU-DS-GVO die Änderungen eher 
im Detail als in großen oder besonders 
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auffälligen Punkten oder Themen. Im fol- 
genden ein Überblick zu den wichtigsten 
Punkten, was sich (nicht) ändert: 


Keine Schriftform mehr! 


Eine Neuerung, die von erheblicher 
praktischer Bedeutung sein wird, ist der 
Umstand, dass eine Datenschutz-Ein- 
willigung nach der EU-DS-GVO nicht 
schriftlich abgegeben werden muss. 

Das BDSG schreibt in $ 4 a Abs. 1 
BDSG dagegen die Schriftform vor, nur 
wenn wegen „besonderer Umstände“ 
eine andere Form „angemessen“ ist, darf 
davon ausnahmsweise abgewichen wer- 
den. In besonderen Eilfällen etwa kann 
diese Ausnahme greifen. Da aber die 
Beweislast dafür, ob solche besonderen 
Umstände vorliegen, bei der verantwort- 
lichen Stelle liegt, besteht bei dieser Fra- 
ge in Deutschland in der Praxis oft erheb- 
liche Rechtsunsicherheit: Ist etwa eine 
telefonisch einem Call Center gegenüber 
erteilte Einwilligung wirksam? Auch 
dann, wenn keine Eilsituation vorliegt? 

Das deutsche Recht kennt zudem eine 
Art elektronische Form, die aber nur bei 
speziellen Daten im Internetbereich (sog. 
Bestands- und Nutzungsdaten) oder die 
Werbung betreffende Einwilligungen 
greifen kann; für alle anderen Formen 
von Einwilligungen gibt es in Deutsch- 
land keine elektronische Form. 

Mit der EU-DS-GVO stellen sich die- 
se Fragen dann nicht mehr, weil sie die 
„Grundanforderung“ der Schriftlichkeit 
nicht kennt. Aus praktischer Sicht ist dies 
eine Erleichterung für beide Seiten, es 
entspricht auch der Digitalisierung und 
dem Wunsch, einen Medienbruch zu 
vermeiden und gewisse Dinge zu erleich- 
tern (neben dem klassischen Datenschutz 
ist die Erleichterung und die Förderung 
des Datenverkehrs innerhalb der EU das 
zweite große Ziel der EU-DS-GVO). 

Zugleich geht damit die der Schrift- 
form innewohnende Warnfunktion ver- 
loren. Um dem zu begegnen, hat der eu- 
ropäische Gesetzgeber aber andere, zum 
Teil auch nur klarstellende Regelungen 
in der EU-DS-GVO aufgenommen. 


Beweislast beim Verant- 
wortlichen 


So wird betont, dass die Beweislast 
dafür, dass der Betroffene auch tatsäch- 


lich eine (ausreichende) Einwilligung 
erteilt hat, bei der verantwortlichen Stel- 
le liegt, also dem Unternehmen, das um 
die Einwilligung bittet. Aus deutscher 
Sicht ist dies nichts Neues, nunmehr 
aber gesetzlich geregelt (Art. 7 Abs. 1 
EU-DS-GVO). 

Alleine schon deswegen und in Anbe- 
tracht der sehr deutlich erhöhten Strafen 
bei Datenschutzverstößen ist man als 
Unternehmen gut beraten, möglichst 
umfassend dokumentiert Einwilligun- 
gen einzuholen. Dies kann ab 2018 aber 
auch in elektronischer Form oder per 
Scan o.Ä. erfolgen, eine Originalunter- 
schrift ist dann nicht mehr nötig. 


Hervorhebungspflicht 


Dies führt zum nächsten Punkt, mit 
dem vermieden werden soll, dass Ein- 
willigungen den Betroffenen „unter- 
gejubelt‘“ werden, etwa als Teil von 
Allgemeinen Geschäftsbedingungen: 
Dazu regelt die EU-DS-GVO, dass eine 
Einwilligung, die Teil eines „größeren“ 
Dokuments ist, das auch noch andere 
Inhalte aufweist (wie etwa AGB), dort 
von den anderen Sachverhalten klar zu 
unterscheiden sein muss. Mit anderen 
Worten: Wenn die Einwilligung Teil von 
AGB sein soll, muss sie dort optisch be- 
sonders hervorgehoben werden. 

Auch dies ist aber nicht neu, das deut- 
sche Recht kennt dazu schon explizite 
Regelungen im BDSG und das schon seit 
vielen Jahren. Umso erstaunlicher ist es, 
dass dies bis heute oft missachtet wird. 

Neu dagegen ist die ausdrückliche 
Regelung in der EU-DS-GVO, dass das 
„Ersuchen um eine Einwilligung“ in sol- 
chen Fällen in „verständlicher und leicht 
zugänglicher Form in einer klaren und 
einfachen Sprachen zu erfolgen hat“. 
Inhaltlich dagegen handelt es sich um 
einen ohnehin geltenden Rechtsgrund- 
satz, der sich zudem auch noch aus dem 
AGB-Recht ergibt. 


Was an einer Einwilligung ist bei 
einem Verstoß gegen die Vorga- 
ben unwirksam? 


Wichtig für die Praxis ist dagegen die 
nunmehr in der EU-DS-GVO aufge- 
nommene ausdrückliche Regelung, dass 
nur diejenigen Teile einer Einwilligung 
unwirksam sind, die gegen die Rege- 
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lungen der EU-DS-GVO verstoßen. Mit 
anderen Worten: Die Regelungen, die in 
Ordnung sind, bleiben gültig. 

Zugleich ist es so, dass die ungülti- 
gen, weil gegen die Verordnung versto- 
Benden Teile dann gänzlich entfallen: Es 
gibt damit keine Reduktion auf dasjeni- 
ge, was man (gerade) noch hätte zuläs- 
sigerweise regeln können. Grund dafür 
ist, dass man ansonsten einfach immer 
versuchen würde, das Maximale an 
Einwilligung „herauszuholen“ und das 
Schlimmste, was bei einem Verstoß pas- 
sieren würde, wäre, dass „nur“ das gilt, 
was per Gesetz noch erlaubt ist. Auch 
diesen Rechtsgrundsatz kennt das deut- 
sche Recht schon sehr lange im AGB- 
Recht. 


Wie freiwillig muss eine 
Einwilligung sein? 


Unverändert wichtig ist, dass eine 
Einwilligung freiwillig erteilt wird. Dies 
ist eine in der Praxis sehr wichtige Fra- 
ge, da mit der Freiwilligkeit die Wirk- 
samkeit der Einwilligung steht und fällt. 
In der EU-DS-GVO sind in Art. 7 Abs. 4 
Aspekte genannt, die bei der Beurtei- 
lung der Freiwilligkeit zu berücksichti- 
gen sind. Insbesondere soll danach eine 
Rolle spielen, ob ein Vertragsschluss 
etwa nur möglich ist, wenn der Kunde 
zugleich in der (meist werblichen) Ver- 
arbeitung derjenigen seiner Daten ein- 
willigt, die nicht zur Vertragsdurchfüh- 
rung erforderlich sind. 

Etwas strenger und damit gewis- 
sermaßen im Widerspruch dazu ist 
Erwägungsgrund Nr. 43, der bei sol- 
chen Koppelungen sogar von einer 
Unwirksamkeit spricht (was nach an- 
deren rechtlichen Gründen etwas frag- 
würdig erscheint, da eine Einwilligung 
für Vorgänge, die schon zur Vertrags- 
durchführung erforderlich sind, nicht 
nötig ist). Es wird abzuwarten blei- 
ben, welche Auswirkung dieser Erwä- 
gungsgrund genau auf die etwas wei- 
tere Regelung in Art. 7 EU-DS-GVO 
haben wird. 

Betrachtet man aber einmal nur Art. 7 
Abs. 4 EU-DS-GVO, beinhaltet dieser 
Absatz zwei wichtige Aussagen: Einer- 
seits, dass dass eine solche Koppelung 
nicht grundsätzlich verboten ist, denn 
die Regelung schreibt nur die Berück- 
sichtigung dieses Umstands vor, verbie- 
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tet die Koppelung aber nicht. Anderer- 
seits, dass eine vorliegende Koppelung 
aber auch — abhängig vom Einzelfall — 
zur Unfreiwilligkeit und damit Unwirk- 
samkeit führen kann. 

Da viele der kostenfreien Angebote 
im Internet auf dem Tausch „Serviceer- 
bringung gegen Daten(nutzung)“ ba- 
sieren und oft die Kostenfreiheit erst 
möglich machen, scheint die Regelung 
in Art. 7 Abs. 4 EU-DS-GVO in ihrer et- 
was weiteren Fassung als in dem Erwä- 
gungsgrund durchaus sinnvoll: Ein „To- 
talverbot“ gibt es nicht, vielmehr muss 
im Einzelfall entschieden werden, wie 
freiwillig eine Einwilligung erteilt wird. 

Bei Angeboten, die für das tägliche 
Leben wichtig sind, wie etwa die Er- 
öffnung eines Bankkontos oder der 
Abschluss einer Versicherung, wird 
die Freiwilligkeit damit wohl deutlich 
strenger zu beurteilen sein, weil die 
Betroffenen auf solche Verträge ange- 
wiesen sind. Bei Verträgen dagegen, bei 
denen man die frei Wahl hat, wie etwa 
einem Buchversand im Internet, dürfte 
die Freiwilligkeit großzügiger bewertet 
werden. 

Weitere Aussagen zur Freiwilligkeit 
enthalten die Erwägungsgründe 42 und 
43, stellen u.a. darauf ab, wie groß das 
Ungleichgewicht zwischen dem Betrof- 
fene, der seine Einwilligung erteilen 
soll, und der verantwortlichen Stelle ist, 
vor allem sind Behörden genannt. 


Neu: Zwingender 
Widerrufshinweis! 


Eine weitere Neuerung ist, dass der 
Widerruf der Einwilligung so einfach 
möglich sein muss wie die Erteilung: 
Wenn man also in einer App per „Fin- 
gertipp“ die Einwilligung erteilen kann, 
muss man in der App auch deren Wider- 
ruf per „Fingertipp“ erklären können. 
Dies soll der „Beseitigung“ einer unter 
Umständen vorschnell erteilten Einwil- 
ligung dienen, aber auch als Ausgleich, 
dass die strenge Schriftform nicht gefor- 
dert wird, dafür aber das „Loskommen“ 
von einer Einwilligung erleichtert ist. 

Ebenso neu ist die Vorgabe, dass 
schon bei Abfrage der Einwilligung 
und vor deren Erteilung der Betroffenen 
darüber zu informieren ist, dass er die 
Einwilligung später mit Wirkung für die 
Zukunft widerrufen kann (Art. 7 Abs. 3 


EU-DS-GVO). In Deutschland ist ak- 
tuell dieser Hinweis im BDSG nicht 
vorgesehen, das TMG, das Internet- 
sachverhalte regelt, kennt ihn dagegen. 
Ebenso gibt es eine ähnliche Pflicht im 
BDSG in Verbindung mit einer gesetzli- 
chen Erlaubnis zur werblichen Nutzung 
und deren Widerspruch (demgemäß in 
8 28 Abs. 4 BDSG geregelt, nicht bei der 
Einwilligung in $ 4 a BDSG oder $ 28 
Abs. 3 a BDSG). 

Mit anderen Worten: Eine Einwilli- 
gung ist nach neuem Recht nur zulässig, 
wenn der Betroffenen vor Erteilung über 
das Widerrufsrecht hingewiesen wurde. 
Für neue Einwilligung lässt sich dies gut 
von Anfang an beachten, nicht aber für 
schon in der Vergangenheit erteile Ein- 
willigungen. Dies kann betreffend des 
einleitend angesprochenen „Bestands- 
schutzes“ erhebliche Auswirkungen ha- 
ben, siehe im Folgenden. 


Was ist zum 25.05.2018 mit „Alt- 
Einwilligungen“? 


Die im Rahmen dieser Übersicht zu- 
letzt noch zu erwähnende Regelung 
betrifft die Frage, was zum Stichtag am 
25.05.2018 eigentlich mit Einwilligun- 
gen passiert, die zuvor erteilt wurden: 
Bleiben diese gültig? Immer oder nur 
in bestimmten Fällen? Wer entscheidet 
dies? 

Die Frage ist von erheblicher Rele- 
vanz, wenn ein Unternehmen etwa viele 
Hunderttausend Einwilligungen über 
die Jahre hinweg gesammelt hat und die 
darauf basierende Datennutzung we- 
sentlicher Teil des Geschäftsmodells ist. 

Bemerkenswert ist, dass sich in den 
Artikeln der EU-DS-GVO zu dieser Fra- 
ge nichts findet, sondern nur in einem 
Entscheidungsgrund, nämlich Nr. 171. 
Dort findet sich folgende Aussage: „Be- 
ruhen die Verarbeitungen auf einer Ein- 
willigung gemäß der Richtlinie 95/46/ 
EG, so ist es nicht erforderlich, dass die 
betroffene Person erneut ihre Einwilli- 
gung dazu erteilt, wenn die Art der be- 
reits erteilten Einwilligung den Bedin- 
gungen dieser Verordnung entspricht, 
so dass der Verantwortliche die Verar- 
beitung nach dem Zeitpunkt der Anwen- 
dung der vorliegenden Verordnung fort- 
setzen kann.“ 

Dies bedeutet, dass eine „Alt-Ein- 
willigung“ nur dann gültig bleibt, wenn 
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deren „Art“ mehr oder weniger zufällig 
dem neuen Recht entspricht. Im Um- 
kehrschluss heißt dies aber, dass alle 
anderen „Alt-Einwilligungen“ unwirk- 
sam werden. Dies war in früheren Fas- 
sungen der Entwürfe der EU-DS-GVO 
noch anders, dort gab es teilweise einen 
echten Bestandsschutz. In der finalen 
und gültigen Fassung aber gilt nur noch 
vorstehend zitierte Regelung. Von einem 
„Bestandschutz‘“ kann man damit gerade 
nicht mehr sprechen, denn an bestehende 
Einwilligungen werden ab 25.05.2018 
dieselben Anforderungen gestellt wie 
neu einzuholende Einwilligungen: Ent- 
weder erfüllen sie die neuen Anforderun- 
gen (und bleiben nur dann wirksam) oder 
nicht (und sind unwirksam). 

Dies führt dazu, dass jedes Unterneh- 
men (und Behörde), das eine Datenver- 
arbeitung auf eine Einwilligung stützt, 
die nächsten beiden Jahre nutzen muss, 
um zu prüfen, ob Einwilligungen (bzw. 
deren „Art“, was auch immer damit 
genau gemeint ist — dies ist eine der 
vielen offenen Fragen) nach dem ak- 
tuellen Recht schon den neuen Anfor- 
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derungen genügen: Denn nur solche 
Einwilligungen bleiben wirksam. An- 
sonsten sollten die zwei Jahre genutzt 
werden, Kunden mit Einwilligungen, 
die nicht der EU-DS-GVO entspre- 
chen, schon jetzt auf neue Einwilligun- 
gen, die diese Anforderungen erfüllen, 
„umzustellen“. 

Betrachtet man den Umstand, dass 
nach neuem Recht der Widerrufshin- 
weis schon vor Erteilung der Einwil- 
lung erteilt werden muss und sieht 
dies als Anforderung auch für „Alt- 
Einwilligungen“, dürfe in vielen Fällen 
in Deutschland diese Anforderung bei 
„Alt-Einwilligungen“ nicht erfüllt sein: 
Denn nach aktuellem deutschen Recht 
bedarf es dieses Hinweises nicht zwin- 
gend. Solchermaßen eingeholte Einwil- 
ligungen wären dann zum 25.05.2018 
unwirksam. 

Insofern ist wichtig, etwaige Einwilli- 
gungen die nächsten beiden Jahre nicht 
nur am bis dahin gültigen aktuellen na- 
tionalen Recht auszurichten, sondern 
sogleich auch an den Vorgaben der EU- 
DS-GVO. 


Fazit: Was ist also neu? 


Damit liegen aus deutscher Sicht die 
Neuerungen der EU-DS-GVO zur Ein- 
willigung vor allem in den Detailvorga- 
ben, wie zum Beispiel der entfallenden 
Schriftform sowie Vorgaben rund um den 
Widerrufshinweis und der Art des Wider- 
rufs. Damit sind zugleich aber sehr pra- 
xisrelevante Themen betroffen. Für den 
Betroffenen wird der Schutz trotz Weg- 
falls der echten Schriftform im Ergebnis 
wohl zumindest nicht schlechter und im 
Hinblick auf die digitale Welt jedenfalls 
zeitgemäßer. Ein „mehr“ an Schutz gibt 
es über die verstärkten Freiwilligkeits- 
und Widerrufsanforderungen. 


Rechtsanwalt Dr. Robert Selk beschäftigt 
sich seit über 15 Jahren intensiv mit dem 
Datenschutz, ist im internationalen Kon- 
zernbereich als externer Datenschutzbe- 
auftragter tätig und sowie Mitgründer und 
-gesellschafter einer Software- und Bera- 
tungsfirma im CRM- und Kundendaten- 
bereich, ebenso wie u.a. Leiter des Fach- 
ausschusses „Datenschutz“ der Deutschen 
Gesellschaft für Recht und Informatik. 


Die Europäische Datenschutzgrundverordnung 
und ihre Auswirkungen auf den betrieblichen 


Datenschutz 


Mit der Europäischen Datenschutz- 
grundverordnung (DSGVO) gibt es 
auch im Bereich des betrieblichen 
Datenschutzes mehr oder weniger we- 
sentliche Änderungen, die künftig zu 
beachten sind. Bei einigen Regelungen 
der DSGVO steht allerdings noch nicht 
fest wie sie zum Zeitpunkt des Gültig- 
werdens der DSGVO am 25. Mai 2018 
aussehen werden. Die DSGVO enthält 
viele Konkretisierungsklauseln, einige 
davon muss der nationale Gesetzge- 
ber bis zum Gültigwerden der DSGVO 
ausfüllen, andere kann er bis zu diesem 
Zeitpunkt oder auch später ausfüllen. 
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Manche spezielle Regelungen, wie die 
zur Videoüberwachung öffentlich zu- 
gänglicher Räume, fallen weg, andere 
Regelungen werden konkretisiert und 
weitere neu eingeführt. Dieser Artikel 
gibt eine erste Übersicht zu den wich- 
tigsten Auswirkungen der DSGVO 
auf den betrieblichen Datenschutz! in 
Deutschland. 


Beschäftigtendatenschutz 
In der DSGVO gibt es bedauerlicher- 


weise keine speziellen Regelungen zum 
Beschäftigtendatenschutz. Vielmehr 


gibt Art. 88 der DSGVO den Mitglied- 
staaten die Möglichkeit „durch Rechts- 
vorschriften oder durch Kollektivver- 
einbarungen“ spezielle Regelungen zum 
Beschäftigtendatenschutzgesetz zu er- 
lassen. Die Bundesregierung plant — laut 
Aussagen eines Mitarbeiters der BfDI — 
den $ 32 BDSG in das sogenannte „Ab- 
lösegesetz“? zu „retten“ und somit zu- 
mindest diese minimalistische Regelung 
zum Beschäftigtendatenschutz weiter 
gelten zu lassen. 

Bereits bisher wurden „Kollektivver- 
einbarungen“, also Tarif- und Betriebs- 
vereinbarungen, die Regelungen zum 
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Umgang mit Beschäftigtendaten ent- 
halten, als „andere Rechtsvorschriften“ 
im Sinne des $ 4 Abs. 1 BDSG angese- 
hen. Mit diesen Vereinbarungen konnte 
und wurde für deren Geltungsbereich 
der Beschäftigtendatenschutz für spezi- 
elle Bereiche geregelt. Durch die Rege- 
lung des Artikel 88 Abs. 1 bleibt diese 
Möglichkeit erhalten. Der Abs. 2 gibt 
einen Rahmen für derartige Vereinba- 
rungen vor: 


„Diese Vorschriften umfassen ange- 
messene und besondere Maßnahmen 
zur Wahrung der menschlichen Würde, 
der berechtigten Interessen und der 
Grundrechte der betroffenen Person, 
insbesondere im Hinblick auf die Trans- 
parenz der Verarbeitung, die Übermitt- 
lung personenbezogener Daten inner- 
halb einer Unternehmensgruppe oder 
einer Gruppe von Unternehmen, die 
eine gemeinsame Wirtschaftstätigkeit 
ausüben, und die Überwachungssyste- 
me am Arbeitsplatz.“ 


Daher sind die in den bereits bestehen- 
den Betriebs- und Tarifvereinbarungen 
enthaltenen Regelungen dahingehend 
zu überprüfen, ob sie diesen Anforde- 
rungen genügen. 


Die betrieblichen Datenschutz- 
beauftragten 


Die DSGVO sieht bei Unternehmen 
anders als bei Behörden keine generel- 
le Pflicht zur Bestellung eines Daten- 
schutzbeauftragten vor. Ein betriebli- 
cher Datenschutzbeauftragter ist dann 
zu benennen? wenn 
« die Kerntätigkeit* des Verantwortli- 
chen® oder des Auftragsverarbeiters 
in der Durchführung von Verarbei- 
tungsvorgängen besteht, welche auf- 
grund ihrer Art, ihres Umfangs und/ 
oder ihrer Zwecke eine umfangreiche 
regelmäßige und systematische Über- 
wachung von betroffenen Personen 
erforderlich machen, oder wenn 
die Kerntätigkeit des Verantwortli- 
chen oder des Auftragsverarbeiters 
in der umfangreichen Verarbeitung 
besonderer Kategorien von Daten 
gemäß Artikel 9 oder von personen- 
bezogenen Daten über strafrechtliche 
Verurteilungen und Straftaten gemäß 
Artikel 10 besteht.‘ 
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Daneben eröffnet Art. 37 Abs. 4 Satz 1, 
erster Halbsatz DSGVO die Möglich- 
keit, dass „der Verantwortliche oder der 
Auftragsverarbeiter oder Verbände und 
andere Vereinigungen, die Kategorien 
von Verantwortlichen oder Auftrags- 
verarbeitern vertreten, einen Daten- 
schutzbeauftragten benennen“. Sollte 
europäisches oder nationales Recht dies 
vorschreiben, dann müssen die genann- 
ten Stellen gemäß Art. 37 Abs. 4 Satz 1, 
zweiter Halbsatz DSGVO einen Da- 
tenschutzbeauftragten benennen. Diese 
Konkretisierungsklausel, die dem na- 
tionalen Gesetzgeber die Möglichkeit 
gibt, eigene weitgehende Regelungen 
zur Pflicht zur Benennung von Daten- 
schutzbeauftragten beizubehalten oder 
zu erlassen, ist vor allem dem Europäi- 
schen Parlament und im Ministerrat der 
Deutschen Vertretung zu verdanken. 


Deutsche Regelung zur Benen- 
nung betrieblicher Datenschutz- 
beauftragter 


Laut Aussagen von Mitarbeitern der 
Bundesbeauftragten für den Datenschutz 
und die Informationsfreiheit (BfDI) so- 
wie des Bundesministeriums für Justiz 
und Verbraucherschutz beabsichtigt die 
Regierung die bisherigen Regelungen 
für die Pflicht zur Bestellung betriebli- 
cher Datenschutzbeauftragter unverän- 
dert in das „Ablösegesetz“ zu überneh- 
men. Allerdings ist nicht sicher, ob es 
tatsächlich dazu kommt, da aus Kreisen 
der Wirtschaft manches Mal zu hören 
ist, dass die Institution der betrieblichen 
Datenschutzbeauftragten eine büro- 
kratische Last sei. Diese Aussage war 
und ist zu Zeiten des BDSG falsch und 
wird auch zu Zeiten der DSGVO immer 
noch falsch sein: Unabhängig davon, 
ob in einem Unternehmen ein Daten- 
schutzbeauftragter zu bestellen ist oder 
nicht, die Anforderungen des BDSG 
und künftig der DSGVO müssen kom- 
petent umgesetzt werden. Hierbei ist ein 
Datenschutzbeauftragter, der die erfor- 
derlichen Fähigkeiten und Kenntnisse 
mitbringt, eine große Hilfe und Unter- 
stützung für das Unternehmen. 

Die Stellung und die Aufgaben der 
Datenschutzbeauftragten sind dagegen 
in der DSGVO geregelt und können von 
den nationalen Gesetzgebern nicht ab- 
geändert werden. 


Art. 37 Abs. 7 regelt nun unmissver- 
ständlich: „Der Verantwortliche oder 
der Auftragsverarbeiter veröffentlicht 
die Kontaktdaten des Datenschutzbe- 
auftragten und teilt diese Daten der Auf- 
sichtsbehörde mit.“ Damit ist sicherge- 
stellt, dass zum einen die Datenschutz- 
aufsichtsbehörden und zum anderen die 
Betroffenen sich bei Bedarf auch direkt 
an die jeweiligen Datenschutzbeauftrag- 
ten wenden können. 


Stellung der betrieblichen Daten- 
schutzbeauftragten’ 


An der Stellung der betrieblichen Da- 
tenschutzbeauftragten ändert sich grund- 
sätzlich nichts. Sie müssen „frühzeitig in 
alle mit dem Schutz personenbezogener 
Daten zusammenhängenden Fragen ein- 
gebunden“ werden. Die Datenschutzbe- 
auftragten sind von den Verantwortlichen 
und den Auftragsverarbeitern bei der 
Erfüllung ihrer Aufgaben sowie beim Er- 
halt ihrer Fachkunde zu unterstützen. Die 
Datenschutzbeauftragten sind bezüglich 
der Ausübung ihrer Aufgaben weisungs- 
frei und dürfen wegen der Erfüllung ihrer 
Aufgaben nicht benachteiligt oder abbe- 
rufen werden. Die Datenschutzbeauftrag- 
ten berichten „unmittelbar der höchsten 
Managementebene“. Einen ausdrückli- 
chen Kündigungsschutz, wie nun schon 
seit einigen Jahren im $ 4f Abs. 3 Satz 4 
zu finden ist, kennt die DSGVO leider 
nicht. Dies lässt befürchten, dass Unter- 
nehmen wieder auf die Idee kommen, un- 
beliebte Datenschutzbeauftragte, die ihre 
Aufgaben ernst nehmen, betriebsbedingt 
— d.h. nicht wegen ihrer Aufgabenerfül- 
lung - zu kündigen. 

Während in $ 4f Abs. 5 Satz 2 BDSG 
nur stand: „Betroffene können sich je- 
derzeit an den Beauftragten für den Da- 
tenschutz wenden“ regelt Art 38 Abs. 
4 DSGVO nun „Betroffene Personen 
können den Datenschutzbeauftrag- 
ten zu allen mit der Verarbeitung ihrer 
personenbezogenen Daten und mit der 
Wahrnehmung ihrer Rechte gemäß die- 
ser Verordnung im Zusammenhang ste- 
henden Fragen zu Rate ziehen“. Diese 
Formulierung ist deutlich weiter gefasst, 
als die bisherige Regelung des BDSG. 
Wenn es Betroffene fordern, sind ihnen 
von den betrieblichen Datenschutzbe- 
auftragten nicht nur Auskünfte zu den 
verarbeiteten personenbezogenen Daten 
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zu geben, sondern sie umfassend darü- 
ber zu beraten, welche Rechte sie im Zu- 
sammenhang mit diesen Verarbeitungen 
haben. 

Nach wie vor sind die Datenschutzbe- 
auftragten bei der Erfüllung ihrer Aufga- 
ben an Geheimhaltung und Vertraulichkeit 
gebunden. Die bisherigen Regelungen 
zur Verschwiegenheitsverpflichtung für 
externe Datenschutzbeauftragte bei Be- 
rufsgeheimnisträgern wie Ärztinnen oder 
RechtsanwältInnen können vom deut- 
schen Gesetzgeber beibehalten werden. 

Neu ist — zumindest die ausdrückliche 
genannte — Regelung, dass der Verant- 
wortliche oder der Auftragsverarbeiter 
sicherstellen muss, dass andere Aufgaben 
und Pflichten, die der Datenschutzbeauf- 
tragte eventuell neben seiner Tätigkeit als 
Datenschutzbeauftragter für das Unter- 
nehmen erfüllen muss, „nicht zu einem 
Interessenkonflikt führen“. Diese For- 
derung wurde zwar bisher von den Da- 
tenschutzaufsichtsbehörden und BDSG- 
Kommentatoren aus der von $ 4f Abs. 2 
Satz 1 BDSG geforderten Zuverlässigkeit 
des Datenschutzbeauftragten abgeleitet, 
war aber nicht direkt im BDSG enthalten. 


Aufgaben der Datenschutzbe- 
auftragten 


Die Datenschutzbeauftragten „oblie- 
gen“ gemäß Art. 39 Abs. 1 DSGVO „‚zu- 
mindest folgende Aufgaben: 


° Unterrichtung und Beratung des Ver- 
antwortlichen oder des Auftragsver- 
arbeiters und der Beschäftigten, die 
Verarbeitungen durchführen, hinsicht- 
lich ihrer Pflichten nach dieser Ver- 
ordnung sowie nach sonstigen Daten- 
schutzvorschriften der Union bzw. der 
Mitgliedstaaten; 

* Überwachung der Einhaltung dieser 

Verordnung, anderer Datenschutz- 

vorschriften der Union bzw. der Mit- 

gliedstaaten sowie der Strategien des 

Verantwortlichen oder des Auftrags- 

verarbeiters für den Schutz personen- 

bezogener Daten einschließlich der 

Zuweisung von Zuständigkeiten, der 

Sensibilisierung und Schulung der an 

den Verarbeitungsvorgängen beteilig- 

ten Mitarbeiter und der diesbezügli- 
chen Überprüfungen; 

Beratung — auf Anfrage — im Zu- 

sammenhang mit der Datenschutz- 
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Folgenabschätzung und Überwachung 
ihrer Durchführung gemäß Artikel 35; 
Zusammenarbeit mit der Aufsichtsbe- 
hörde und 

Tätigkeit als Anlaufstelle für die Auf- 
sichtsbehörde in mit der Verarbeitung 
zusammenhängenden Fragen, ein- 
schließlich der vorherigen Konsulta- 
tion gemäß Artikel 36, und gegebe- 
nenfalls Beratung zu allen sonstigen 
Fragen.“ 


Während in $ 4g Abs. 1 Satz 4 Ziff. 
2 BDSG eine der Aufgaben der Daten- 
schutzbeauftragten darin bestand „die 
bei der Verarbeitung personenbezogener 
Daten tätigen Personen durch geeignete 
Maßnahmen mit den Vorschriften die- 
ses Gesetzes sowie anderen Vorschrif- 
ten über den Datenschutz und mit den 
jeweiligen besonderen Erfordernissen 
des Datenschutzes vertraut zu machen“ 
haben die Datenschutzbeauftragten die 
Verantwortlichen und die Auftragsverar- 
beiter sowie die Beschäftigten nach der 
DSGVO hinsichtlich ihrer Datenschutz- 
verpflichtungen „zu unterrichten und zu 
beraten“. 


Deutlich höhere Geldbußen 


Nach Art. 83 Abs. 1 DSGVO sol- 
len die Aufsichtsbehörden bei Daten- 
schutzverstößen Bußgelder verhän- 
gen, die „in jedem Einzelfall wirksam, 
verhältnismäßig und abschreckend“ 
sind. Es wird künftig kaum mehr mög- 
lich sein, etwaige Bußgelder „aus der 
Portokasse“ zu bezahlen. Die Höhe 
der Bußgelder kann bis zu 20 Milli- 
onen EUR oder bis zu 4% des welt- 
weiten Umsatzes des Unternehmens 
betragen, je nachdem, welcher Betrag 
der höhere ist. Nach Art. 83 Abs. 3 
werden mehrere Verstöße gegen die 
DSGVO, die „bei gleichen oder mit- 
einander verbundenen Verarbeitungs- 
vorgängen“ erfolgen, gemeinsam 
mit der maximalen Geldbuße für den 
schwerwiegendsten geahndet. Aber 
dies wird deutlich höhere Geldbußen 
als bisher in Deutschland üblich waren 
auch nicht vermeiden. Die rechtzeitige 
und vorausschauende Umsetzung der 
datenschutzrechtlichen Anforderun- 
gen wird also schon bereits aus mone- 
tären Gründen ein wichtiges Ziel der 
Unternehmenspolitik werden. 


Zu berücksichtigen ist auch, dass ge- 
genüber den Bußgeldvorschriften des 
BDSG einige Bußgeldtatbestände hin- 
zugekommen sind. So ist ein Verstoß 
gegen $ 9 „Technische und organisa- 
torische Maßnahmen“ BDSG _ bisher 
nicht mit einem Bußgeld verwehrt, ein 
Verstoß gegen Art. 25 „Datenschutz 
durch Technikgestaltung und durch da- 
tenschutzfreundliche Voreinstellungen“ 
DSGVO, in dem die Verpflichtung zur 
Umsetzung geeigneter technischer und 
organisatorischer Maßnahmen enthalten 
ist, ist mit einem Bußgeld bedroht. 


Was ist neu? 
Grundsätze der Datenverarbeitung 


In Artikel 5 der DSGVO werden 
„Grundsätze für die Verarbeitung perso- 
nenbezogener Daten“ festgeschrieben. 
Diese sind: 


1. „Rechtmäßigkeit, Verarbeitung nach 
Treu und Glauben, Transparenz“, 

2. „Zweckbindung“, 

3. „Datenminimierung‘“, 

4. „Richtigkeit“, 

5.„speicherbegrenzung“ (gemeint ist 
damit die frühestmögliche Anonymi- 
sierung der personenbezogenen Da- 
ten)‘, und 

6. „Integrität und Vertraulichkeit“ 


Der Verantwortliche ist für die Einhal- 
tung dieser Grundsätze verantwortlich 
und muss deren Einhaltung nachweisen 
können, in der DSGVO „Rechenschafts- 
pflicht“® genannt. Zur Einhaltung der 
„Rechenschaftspflicht“ wird es erfor- 
derlich, die im Unternehmen ergriffenen 
Maßnahmen zur Umsetzung des Daten- 
schutzes und insbesondere der Grund- 
sätze zumindest in elektronischer Form 
zu dokumentieren und diese Dokumen- 
tation aktuell fortzuschreiben. 

Im Zusammenhang mit dem Grund- 
satz der „Speicherbegrenzung“ ist zu be- 
achten, dass gemäß Erwägungsgrund 26 
DSGVO die einer „Pseudonymisierung 
unterzogene(n) personenbezogene(n) 
Daten, die durch Heranziehung zusätz- 
licher Informationen einer natürlichen 
Person zugeordnet werden könnten, 
(...) als Informationen über eine iden- 
tifizierbare natürliche Person betrachtet 
werden (sollten).“ 
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Pflicht, die Empfänger personenbezo- 
gener Daten über Löschung, Berich- 
tigung und Sperrung zu informieren 


Sofern es möglich und mit einem 
verhältnismäßigen Aufwand durch- 
führbar ist, muss der Verantwortli- 
che alle Empfänger der betreffenden 
personenbezogenen Daten über „jede 
Berichtigung oder Löschung der per- 
sonenbezogenen Daten oder eine 
Einschränkung der Verarbeitung“'’ 
informieren. Darüber hinaus ist die 
betroffene Person auf Verlangen vom 
Verantwortlichen über die Empfänger 
der Daten zu informieren. 


„Recht auf Datenübertragbarkeit“ 


Auch wenn auf den ersten Blick der 
Eindruck entstehen könnte, dass der 
Art. 20 DSGVO in erster Linie auf 
große Datensammler wie Facebook 
und Google abzielt, so gilt die Rege- 
lung, dass die betroffene Person „die 
sie betreffenden personenbezogenen 
Daten, die sie einem Verantwortlichen 
bereitgestellt hat, in einem strukturier- 
ten, gängigen und maschinenlesbaren 
Format zu erhalten“ hat um sie einem 
anderen Dienstleister zur Verfügung 
stellen zu können, für alle Daten, die 
Aufgrund einer Einwilligung oder auf 
Grund eines Vertragsverhältnisses au- 
tomatisiert verarbeitet werden. Damit 
gilt diese Regelung z.B. auch für On- 
line-Shop-Betreiber,  Online-Spiele- 
Anbieter aber auch für die Beschäftig- 
tendaten des Arbeitgebers. 


Dokumentationspflichten 


Wie oben dargestellt, fordert der Art. 5 
der DSGVO, dass der Verantwortli- 
che die Einhaltung der Grundsätze der 
Datenverarbeitung nachweisen kann. 
In Art. 24. wird von Verantwortlichen 
und Auftragsverarbeitern verlangt, dass 
sie „geeignete technische und orga- 
nisatorische Maßnahmen (ergreifen), 
um sicherzustellen und den Nachweis 
dafür erbringen zu können, dass die 
Verarbeitung gemäß dieser Verordnung 
erfolgt.“. Für diese Nachweiserbrin- 
gung ist es unerlässlich die umgesetz- 
ten technischen und organisatorischen 
Maßnahmen in ausreichender Detail- 
liertheit zu dokumentieren und diese 
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Dokumentation aktuell zu halten. Zu 
den Dokumentationspflichten gehört 
auch das „Verzeichnis von Verarbei- 
tungstätigkeiten“ (aus dem BDSG als 
Verfahrensübersicht bekannt), das wei- 
ter unten dargestellt wird. 


Was fällt weg? 
Videoüberwachung 


Spezielle Regelungen zur Videoüber- 
wachung, wie sie in $ 6b BDSG ent- 
halten waren, sind in der DSGVO nicht 
enthalten. Sofern eine — auch nur kurz- 
zeitige — Aufzeichnung der Videoüber- 
wachung erfolgt, ist diese unstreitig als 
Verarbeitung personenbezogener Daten 
anzusehen, bei der die allgemeinen Re- 
gelungen der DSGVO!! oder bei der 
Videoüberwachung von Beschäftigten 
auch die — wenn solche erlassen wer- 
den - speziellen Regelungen zum Be- 
schäftigtendatenschutz gelten. Sofern 
nur eine Live-Beobachtung ohne Auf- 
zeichnung erfolgt, ist noch zu klären, 
ob dies auch als Verarbeitung anzuse- 
hen ist. Wenn ja, würden auch hier die 
entsprechenden Datenschutzanforde- 
rungen gelten. Wenn nein, würden nur 
zivilrechtliche Regelugen, wie das all- 
gemeine Persönlichkeitsrecht, greifen. 


Mobile personenbezogene Speicher- 
und Verarbeitungsmedien 


Gab es mit $ 6c BDSG spezielle Re- 
gelungen für Mobile personenbezogene 
Speicher- und Verarbeitungsmedien'?, so 
sind mit Gültigwerden der DSGVO auf 
derartige Medien nur noch die Regelun- 
gen der DSGVO oder je nach Einsatzge- 
biet derartiger Medien die entsprechen- 
den bereichsspezifischen Regelungen 
anzuwenden. Im betrieblichen Alltag 
kam $ 6c BDSG allerdings selten zur 
Anwendung. Dessen Forderungen las- 
sen sich zudem aus den in der DSGVO 
ausdrücklich aufgeführten Grundsätzen 
für die Verarbeitung personenbezogener 
Daten!’ und den Rechten der Betroffe- 
nen'* ableiten. 


Keine Verpflichtung mehr auf das 
Datengeheimnis 


Begrifflich fällt das Datengeheimnis 
aus $ 5 Abs. 1 BDSG" mit Gültigwer- 


den der DSGVO weg. Art. 29 schreibt 
allerdings vor: „Der Auftragsverar- 
beiter und jede dem Verantwortlichen 
oder dem Auftragsverarbeiter unter- 
stellte Person, die Zugang zu perso- 
nenbezogenen Daten hat, dürfen diese 
Daten ausschließlich auf Weisung des 
Verantwortlichen verarbeiten“. Dies 
ist — ohne dass es so genannt würde — 
eine andere Formulierung des Daten- 
geheimnisses. 

Eine Regelung zur formalen Ver- 
pflichtung der Mitarbeiter eines Un- 
ternehmens auf das Datengeheimnis'® 
kennt die DSGVO nicht. Ohne ein zu- 
sätzliches „Vertrautmachen“ mit den 
Datenschutzanforderungen am Arbeits- 
platz hatte diese formale Verpflichtung 
allerdings auch bislang in der Regel 
keine Wirkung entfaltet. Art. 32 Abs. 4 
DSGVO fordert: „Der Verantwortliche 
und der Auftragsverarbeiter unterneh- 
men Schritte, um sicherzustellen, dass 
ihnen unterstellte natürliche Personen, 
die Zugang zu personenbezogenen Da- 
ten haben, diese nur auf Anweisung des 
Verantwortlichen verarbeiten“. Welche 
Schritte dies sind, lässt die DSGVO an 
dieser Stelle offen. Einer der Schritte 
wird aber sicherlich sein, die Beschäf- 
tigten auf die Regelung des Art. 29 DS- 
GVO hinzuweisen. Einer formalen Ver- 
pflichtung auf diese Regelung bedarf es 
gemäß der DSGVO allerdings nicht. 


Was bleibt? 


Vieles, was aus dem BDSG bekannt 
und von daher in den Unternehmen 
bereits umgesetzt ist (oder worden 
sein sollte) findet sich — wenn auch 
mit gewissen Abweichungen — auch in 
der DSGVO. Ausgewählte Teilberei- 
che finden sich in den nachstehenden 
Abschnitten. Da die Darstellung aller 
dieser Regelungen den Rahmen dieses 
Artikels sprengen würde, findet sich 
in der anschließenden Übersicht eine 
Gegenüberstellung der entsprechenden 
Artikel der DSGVO zu den Paragra- 
phen des BDSG. 


Verzeichnis von Verarbeitungstätig- 
keiten 


Das Führen der Verfahrensübersicht 


bzw. des „Verzeichnisses von Verar- 
beitungstätigkeiten“, wie es nun in der 
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DSGVO heißt, ist nun nicht mehr 
Aufgabe der Datenschutzbeauftrag- 
ten, sondern ist eine Aufgabe, die die 
Unternehmen (Verantwortliche und 
Auftragsverarbeiter) gemäß Art. 30 
DSGVO nun selbst verrichten müssen. 
In dieses Verzeichnis sind „Namen und 
die Kontaktdaten (...) eines etwaigen 
Datenschutzbeauftragten“ anzugeben. 
Bisher war diese Angabe in der Ver- 
fahrensübersicht freiwillig. Dieses 
Verzeichnis ist nun nicht mehr vom 
Datenschutzbeauftragten „jedermann 
in geeigneter Weise verfügbar“ zu ma- 
chen sondern von dem Verantwortli- 
chen oder Auftragsverarbeiter der Da- 
tenschutzaufsichtsbehörde auf Anfrage 
zur Verfügung zu stellen. 

Im Übrigen entspricht der Inhalt 
des Verarbeitungsverzeichnisses im 
Wesentlichen den in $ 4e BDSG ent- 
haltenen Angaben. Während nach $ 4e 
Ziffer 6 „Empfänger oder Kategorien 
von Empfängern, denen die Daten mit- 
geteilt werden können“ zu benennen 
waren, sind nach Art 30 Abs. 1 lit. d 
„die Kategorien von Empfängern, ge- 
genüber denen die personenbezogenen 
Daten offengelegt worden sind oder 
noch offengelegt werden“ anzugeben. 
Bei Datenübermittlungen an Drittstaa- 
ten oder internationale Organisationen 
ist in bestimmten Fällen zu dokumen- 
tieren, dass es „geeignete Garantien“ 
für ein angemessenes Datenschutzni- 
veau beim Empfänger gibt. Neu ist, 
dass in der DSGVO - im Gegensatz 
zum BDSG - ein Verstoß gegen die 
Regelungen zur Führung dieses Ver- 
zeichnisses mit einem Bußgeld be- 
droht wird. 


Internationale Datenübermittlungen 


Die bisherigen Möglichkeiten zum 
internationalen Datenaustausch, wie 
sie im betrieblichen Bereich gerade 
bei Unternehmen in international auf- 
gestellten Unternehmensgruppen oder 
Konzernen erfolgt, bleiben auch mit 
der DSGVO grundsätzlich erhalten. In 
der DSGVO sind die entsprechenden 
Regelungen (Kapitel 5, Artt. 45-50 
DSGVO) allerdings deutlich konkre- 
ter als die bisherigen Regelungen des 
BDSG. 

Insbesondere bleibt die Möglichkeit 
erhalten, dass die Kommission durch 
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einen Angemessenheitsbeschluss fest- 
stellt „dass das betreffende Drittland, 
ein Gebiet oder ein oder mehrere 
spezifische Sektoren in diesem Dritt- 
land oder die betreffende internatio- 
nale Organisation ein angemessenes 
Schutzniveau bietet“!” und damit der 
Datentransfer vorgenommen werden 
darf. Auch die bisherigen Instrumen- 
te „Standarddatenschutzklauseln“ und 
von der Aufsichtsbehörde zu geneh- 
migende „verbindliche interne Daten- 
schutzvorschriften“ bleiben erhalten. 
Unternehmen, die den Wegfall von 
Safe Harbor bereits berücksichtigt ha- 
ben, werden durch das Gültigwerden 
der DSGVO keine unliebsamen Über- 
raschungen für den internationalen Da- 
tenverkehr erleben. 


Weitere Regelungen in der Übersicht 


In der folgenden Übersicht sind die 
noch nicht dargestellten Regelungen 
aufgenommen, die bereits im BDSG 
enthalten waren und die grundsätzlich 
auch weiterhin in der DSGVO enthalten 
sind. Im Einzelnen können die bisheri- 
gen und die zukünftigen Regelungen 
inhaltlich allerdings mehr oder weniger 
deutlich voneinander abweichen. Daher 
ist auch bei den Regelungen in dieser 
Übersicht eine intensive Beschäftigung 
mit den neuen Formulierungen unver- 
meidlich. 

Es gibt weiterhin — auch auf EU-Ebe- 
ne — bereichsspezifische Regelungen, 
wie z.B. die EU-Datenschutzrichtlinie 
für die elektronische Kommunikation 
(Richtlinie 2002/58/EG), deren Rege- 
lungen durch die DSGVO nicht aufge- 
hoben werden. 

« Verbot mit Erlaubnisvorbehalt (Art. 6 
DSGVO - $ 4 BDSG) 

Regelungen zur Einwilligung'® (Art. 7 
DSGVO - $$ 4a, 28 Abs. 3a, 3b BDSG) 
Regelungen für die Verarbeitung beson- 
derer Datenarten (Artt. 9 u. 10 DSGVO 
828 Abs. 6 BDSG) 

Rechte der Betroffenen (Artt. 12-17 DS- 
GVO - 8$ 6, 7, 9 und 33-35 BDSG). 
Die Informationspflichten aus Artt. 13 
und 14 DSGVO sind allerdings sehr 
viel umfangreicher als die Benachrich- 
tigungsvorgaben des $ 33 BDSG 
Regelungen zur automatisierten Ein- 
zelfallentscheidung (Art. 22 DSGVO - 
$ 6a BDSG 


Die Pflicht, geeignete technische und 
organisatorische Maßnahmen zu treffen 
(Art. 24 Abs. 1 DSGVO - $ 9 BDSG) 
Datenminimierung, datenschutzfreund- 
liche Technik (Art. 25 Abs. 1 DSGVO 
-$ 3a BDSG) 

Erforderlichkeitsprinzip (Art 25 Abs. 2 
DSGVO - $ 3a BDSG) 

Strikte Regelungen für die Auftragsda- 
tenverarbeitung (Artt. 28 und 29 DS- 
GVO-8$ 11 BSDG) 

Regelungen zu den technischen und or- 
ganisatorischen Maßnahmen (Art. 32 
DSGVO - Anhang zu $ 9 BDSG) 
Meldepflicht von Datenschutzverlet- 
zungen an die Aufsichtsbehörde und 
Benachrichtigung der Betroffenen (Artt. 
33 und 34 DSGVO - $ 42a BDSG) 
Aus der Vorabkontrolle durch den Da- 
tenschutzbeauftragten wird die Daten- 
schutz-Folgenabschätzung durch den 
Verantwortlichen (Art. 35 DSGVO - 
$ 4d Abs. 5,6 BSDG) 

Meldepflicht bestimmter Verfahren 
(Art. 36 DSGVO - $ 4e BDSG) 
Verhaltensregeln (Art. 40 DSGVO - 
$ 38a BDSG) 

Freiwillige Zertifizierung (Art. 42 DS- 
GVO - $ 9a BDSG) Für die Daten- 
schutzzertifizierung nach $ 9a BDSG 
fehlte allerdings bislang das Umset- 
zungsgesetz, daher gab es freiwillige 
Zertifizierungen bisher nur auf landes- 
rechtlicher Basis. 


Fazit 


Auch wenn viele der künftig gelten- 
den Regelungen der DSGVO bereits 
derzeit schon im BDSG enthalten sind, 
sollten alle Unternehmen — unabhän- 
gig von ihrer Größe — die verbleibende 
Zeit bis zum 25. Mai 2018 nutzen, um 
die eigenen Datenverarbeitungen und 
die eigene Datenschutzorganisation — 
mit Unterstützung ihrer betrieblichen 
Datenschutzbeauftragten — an die An- 
forderungen der DSGVO und des noch 
zu verabschiedenden „Ablösegesetzes“ 
anzupassen. 


1 Die DSGVO gilt zwar überwiegend glei- 
chermaßen für öffentliche und nichtöf- 
fentliche Stellen (also für Behörden und 
private Unternehmen). Da aber derzeit 
für Behörden in Deutschland und in 
den Bundesländern andere Regelungen 
als für Unternehmen gelten, würde die 
Einbeziehung der Auswirkungen der DS- 
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GVO auf den behördlichen Datenschutz 6 Vgl. Art. 38 Abs. 1, litbundc DSGVO werden können und 3. bei denen der 
den Rahmen dieses Artikels sprengen. 7 Val. Art. 38 Abs. 1 DSGVO 


ein Gesetz, mit dem nach der derzeit 8 Vgl. Art. 5 Abs. 1 lit. eDSGYO: aa 


bekannten Planung zum einen zum 25. „Personenbezogene Daten BIMESSLAN, 13 Art. 5 DSGVO 
Mai 2018 das bisherige BDSG voll- einer Form gespeichert werden, die die 

Identifizierung der betroffenen Personen 14 Artt. 12-17 DSGVO 
nur so lange ermöglicht, wie es für die 
Zwecke, für die sie verarbeitet werden, 
erforderlich ist“. Ausnahmen sind für im 
öffentlichen Interesse liegende Archiv- 
zwecke sowie für Wissenschaftliche und 


„Ablösegesetz“ ist der Arbeitstitel für 


ständig aufgehoben werden soll und 
dass zum anderen sowohl die erforder- 
liche Regelungen (z.B. im Bereich der 
Datenschutzaufsichtsbehörden) als auch 
weitere Regelungen zur Nutzung von 


tigten Personen ist untersagt, personen- 
bezogene Daten unbefugt zu erheben, 


Betroffene diese Verarbeitung nur durch 
den Gebrauch des Mediums beeinflussen 


zu verarbeiten oder zu nutzen (Datenge- 


15 „Den bei der Datenverarbeitung beschäf- 


einigen der Konkretisierungsklauseln historische Forschungszwecke sowie für heimnis). 
enthalten soll. ker 
statistische Zwecke vorgesehen. 16 Vgl. $ 5 Satz 2 BDSG 

Der Begriff der „Benennung eines/einer 
en in der DSG- ” VELASADEZDEONO 17 Vgl. Art. 45, Abs. 1 DSGVO 
VO ersetzt den Begriff der „Bestellung“ 10 „Einschränkung der Verarbeitung‘ ist 18 Vgl. hierzu aber Erwägungsgrund 
aus dem BDSG grundsätzlich mit dem aus dem BDSG (EWG) 32 der DSGVO sowie Artikel 8 
Zum Begriff der „Kerntätigkeit“ sagt an Begriff „Sperrung“ vergleich- zn für die Einwilligung eines 
Erwägungsgrund 97 DSGVO: „Im . indes in Bezug auf Dienste der Infor- 
privaten Sektor bezieht sich die Kern- 11 Vgl. hierzu: Thilo Weichert: „Die Euro- mationsgesellschaft“ DSGVO 
tätigkeit eines Verantwortlichen auf päische Datenschutz-Grundverordnung 
seine Haupttätigkeiten und nicht auf die - ein Überblick“ in dieser Ausgabe 
Verarbeitung personenbezogener Daten 12 Das sindnach $ 3 Abs. 10 BDSG 

" „Datenträger, 1. die an den Betroffenen 
Der Begriff „Verantwortlicher“ aus der ausgegeben werden, 2. auf denen perso- 
DSGVO ersetzt den Begriff „verantwort- nenbezogene Daten über die Speicherung 
liche Stelle“ aus dem BDSG hinaus durch die ausgebende oder eine 


andere Stelle automatisiert verarbeitet 


Auf den nächsten Seiten finden Sie Beiträge der folgenden Organisationen, Verbände und Einzelpersonen, die sich erneut 
mit den roten Linien, die sie in der DANA 3/2015 postuliert hatten, auseinandersetzen und in ihren Beiträgen Resümee 
ziehen, welche von den aufgestellten Forderungen in der EU-DSGVO eingehalten bzw. umgesetzt wurden. Manche 
Beiträge nutzen auch die Möglichkeit, den deutschen Gesetzgebern für die Gestaltung des BDSG-Ablösegesetzes Emp- 
fehlungen mitzugeben. 


Die Beteiligten in alphabetischer Reihenfolge sind: 

BfDI — Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit -— www.bfdi.bund.de, BvD — Berufs- 
verband der Datenschutzbeauftragten Deutschlands (BvD) e.V. — www.bvdnet.de, Digitalcourage — Digitalcourage e.V. 
— www.digitalcourage.de, Digitale Gesellschaft — Digitale Gesellschaft e. V. — www.digitalegesellschaft.de, GDD - Ge- 
sellschaft für Datenschutz und Datensicherheit (GDD) e.V. -— www.gdd.de, Konferenz der Datenschutzbeauftragten des 
Bundes und der Länder (erneut vertreten durch die hessische Aufsichtsbehörde in Abstimmung mit der momentan den 
Vorsitz innehabenden Aufsichtsbehörde aus Mecklenburg-Vorpommern) — (u.a.) https://datenschutz-berlin.de/content/ 
deutschland/konferenz, Prof. Douwe Korff -— www.korff.co.uk/douwe, Peter Schaar — www.eaid-berlin.de, vzbv — Bun- 
desverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V. (vzbv) — 
www.vzbv.de 


Die Deutsche Vereinigung für Datenschutz e.V. dankt den beteiligten Organisationen, Verbänden und Einzelpersonen, die 
erneut Beiträge zur EU-DSGVO beigesteuert haben. 
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BDfl - Andrea Voßhoff / Sven Hermerschmidt! 


Rote Linien eingehalten? Zur Verabschiedung der 
Datenschutz-Grundverordnung 


Mit der Verabschiedung der Daten- 
schutz-Grundverordnung? stellt sich die 
Frage, ob sich ihr Text innerhalb der 
nach der Ratseinigung definierten roten 
Linien bewegt.’ 


l. Zur Datenschutz-Grund- 
verordnung 


Zentrale Frage war und ist, ob das be- 
stehende Datenschutzniveau durch die 
Datenschutz-Grundverordnung beibehal- 
ten wird oder nicht. Der Gesamtbefund 
fällt hier überwiegend positiv aus. Die 
Verordnung bewegt sich sehr weitgehend 
in dem Rahmen, der durch die EU-Grund- 
rechtecharta vorgegeben ist und stellt da- 
mit ein dem heutigen Standard vergleich- 
bar hohes Datenschutzniveau sicher. 

Mit der Aufrechterhaltung der wich- 
tigsten Prinzipien, aber auch der Einfüh- 
rung neuer Elemente wie dem Markt- 
ortprinzip oder dem Recht auf Daten- 
übertragbarkeit kann sich das Ergebnis 
durchaus sehen lassen. 

Hinzukommt, dass die Kooperations- 
und Kohärenzmechanismen bei der 
aufsichtsbehördlichen Tätigkeit die eu- 
ropaweite Harmonisierung vorantreiben 
werden. 

Kritik an den sehr allgemeinen und 
auslegungsbedürftigen Vorschriften 
der Datenschutz-Grundverordnung ist 
wohlfeil. Angesichts der Vielzahl völlig 
unterschiedlicher Interessen ist es ein 
Erfolg, dass sich 28 Mitgliedstaaten und 
das Europäische Parlament, das immer- 
hin 4.000 Änderungsanträge zu behan- 
deln hatte, auf einen gemeinsamen Text 
verständigt haben, dessen Regelungen 
es nun auszufüllen gilt. Auch wenn die 
Verordnung nicht alle Wünsche eines 
Datenschützers befriedigen kann, wird 
jetzt ganz entscheidend sein, dass die 
nationalen Gesetzgeber, die Rechts- 
anwender und die Aufsichtsbehörden 
die Regelungen im Sinne der Grund- 
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rechtecharta auslegen. Nicht zuletzt ist 
es besonders wichtig, dass die Betrof- 
fenen ihre Rechte wahrnehmen und die 
Zivilgesellschaft eine grundrechtsori- 
entierte Anwendung des Datenschutz- 
rechts immer wieder einfordert. 

Vor einem Jahr habe ich mit der 
Zweckbindung und der Einwilligung 
zwei Themen herausgestellt, um damit 
beispielhaft den Verbesserungsbedarf 
für die Trilog-Verhandlungen aufzuzei- 
gen. Deren Schicksal ist wiederum ex- 
emplarisch für die vorsichtig positive 
Bilanz der vierjährigen Verhandlungen. 


1. Die Zweckbindung 


Erfreulicherweise konnte sich das 
Europäische Parlament in den Trilog- 
Verhandlungen mit seiner strikt an den 
Grundrechten orientierten Position sehr 
weitgehend durchsetzen. Die Daten- 
schutz-Grundverordnung verbleibt nun 
in ihrem Art. 5 Abs. 1 lit. b) bei dem 
Grundprinzip, dass personenbezogene 
Daten nur dann für andere Zwecke wei- 
terverarbeitet werden dürfen, wenn der 
neue Zweck mit dem ursprünglichen 
Verarbeitungszweck vereinbar ist. Die 
Möglichkeiten, personenbezogene Da- 
ten auch zu nicht vereinbaren Zwecken 
weiterverarbeiten zu dürfen, sind stark 
eingeschränkt worden. 

Gleichwohl sieht die Datenschutz- 
Grundverordnung einige nicht unbe- 
deutende und zum Teil nicht unkritische 
Einschränkungen der Zweckbindung 
vor. 

a) Die Weiterverarbeitung personenbe- 
zogener Daten zu im öffentlichen Interes- 
se liegenden Archivzwecken, für wissen- 
schaftliche oder historische Forschungs- 
zwecke oder für Statistikzwecke ist nach 
Art. 5 Abs. 1 lit. b) 2. Halbsatz DSGVO 
per se mit dem Ursprungszweck verein- 
bar. Damit wird für diese Zwecke eine 
sehr weitgehende Privilegierung vor- 
genommen, die gerade im Hinblick auf 


einen weiten Forschungsbegriff und der 
Unbestimmtheit des Begriffs „Statistik“ 
nicht unkritisch ist. Hier werden die Auf- 
sichtsbehörden in der praktischen An- 
wendung der Verordnung darauf achten 
müssen, dass diese Privilegierung nicht 
über deren eigentliche Intention hinaus 
ausgenutzt wird. 

b) Art. 6 Abs. 4 DSGVO erlaubt in 
seinem Obersatz in zwei Fällen auch 
die Weiterverarbeitung zu solchen Zwe- 
cken, die nicht mit dem Ursprungszweck 
vereinbar sind. Einerseits ist dies auf der 
Basis einer Einwilligung möglich, was 
angesichts der Autonomie des Betroffe- 
nen konsequent ist. 

Andererseits ist eine solche Zweckän- 
derung möglich, wenn sie auf einer 
Rechtsvorschrift des Unions- oder mit- 
gliedstaatlichen Rechts beruht. Diese 
Rechtsvorschrift muss eine „in einer 
demokratischen Gesellschaft (...) not- 
wendige und verhältnismäßige Maßnah- 
me zum Schutz der in Artikel 23 Absatz 1 
genannten Ziele“ darstellen. Dabei han- 
delt es sich um wichtige öffentliche 
Interessen wie z. B. die Landesverteidi- 
gung, die nationale Sicherheit, aber auch 
fiskalische Interessen im Steuerbereich. 
Diese Möglichkeit der Zweckänderung 
muss die grundrechtliche Garantie der 
Zweckbindung im Blick haben und 
kann nur ausnahmsweise herangezogen 
werden. Insbesondere stellt Art. 6 Abs. 4 
DSGVO keine Befugnis zum Erlass ei- 
ner Rechtsvorschrift dar, sondern nimmt 
Bezug auf Rechtsvorschriften, die auf- 
grund der (anderen) Öffnungsklauseln 
der Datenschutz-Grundverordnung_ er- 
lassen worden sind. Anderenfalls könnte 
Art. 6 Abs. 4 DSGVO - insbesondere 
in Verbindung mit Art. 23 Abs. 1 lit. ı) 
DSGVO - als nahezu uferlose Öff- 
nungsklausel für Regelungen vor allem 
im nicht-öffentlichen Bereich genutzt 
werden, was dem Harmonisierungsan- 
spruch der Datenschutz-Grundverord- 
nung zuwiderliefe. 
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c) Art. 6 Abs. 4 DSGVO stellt darüber 
hinaus Kriterien auf, die bei der Prüfung 
der Vereinbarkeit mit dem Ursprungs- 
zweck zu berücksichtigen seien. Hier ist 
vor allem Art. 6 Abs. 4 lit. e) DSGVO 
hervorzuheben, wonach auch Verschlüs- 
selung oder Pseudonymisierung Instru- 
mente sind, die zugunsten einer Zulässig- 
keit der Zweckänderung zu berücksichti- 
gen sind. Gerade die Weiterverarbeitung 
pseudonymisierter Daten dürfte für Ge- 
schäftsmodelle, die auf der Nutzung von 
Big-Data-Anwendungen beruhen, von 
Bedeutung sein, da auf diese Weise Big- 
Data datenschutzkonform ausgestaltet 
werden kann. 


2. Die Einwilligung 


Anders als bei der Zweckbindung hat 
es bei den Anforderungen an die Einwil- 
ligung gegenüber der Ratsfassung vom 
15. Juni 2015 keine wesentlichen Ver- 
änderungen mehr gegeben. Abgesehen 
von wichtigen Ausnahmen wird eine aus- 
drückliche Einwilligung unter der Daten- 
schutz-Grundverordnung nicht notwen- 
dig sein. Nach der Definition in Art. 4 
Abs. 11 DSGVO bedarf es lediglich ei- 
ner „unmissverständlich abgegebenen 
Willensbekundung“. Hier werden die 
Aufsichtsbehörden genau prüfen müssen, 
dass die Betroffenen ihr Einverständnis 
zurechenbar und in Kenntnis aller Um- 
stände aktiv erteilen, damit die Grenzen 
zwischen opt-in und opt-out nicht zulas- 
ten der Betroffenen verwischt werden. 


Il. Zur Anpassung des nationalen 
Datenschutzrechts 


Trotz des grundsätzlichen Anspruchs, 
mit der Datenschutz-Grundverordnung 
das Datenschutzrecht europaweit zu 
harmonisieren, enthält die Verordnung 
bekanntlich eine Vielzahl von Öffnungs- 
klauseln, die die nationalen Gesetzgeber 
verpflichten oder es ihnen ermöglichen, 
mitgliedstaatliches Recht zu erlassen. Dies 
betrifft neben den institutionellen Fragen 
vor allem die Verarbeitung personenbezo- 
gener Daten im öffentlichen Bereich. 


1. Eine starke Stimme für den deut- 
schen Datenschutz in Europa 


Angesichts der Kooperationsmecha- 
nismen, des Kohärenzverfahrens, aber 
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auch des insgesamt gestiegenen Be- 
darfs an einer europaweit einheitlichen 
Anwendung des Datenschutzrechts 
wird die Zusammenarbeit der Auf- 
sichtsbehörden in den 28 Mitgliedstaa- 
ten enorm an Bedeutung gewinnen. 

Deutschland kann hier als födera- 
ler Staat das Knowhow und die Er- 
fahrung von insgesamt 18 staatlichen 
Aufsichtsbehörden in die Waagschale 
werfen, ein nicht zu unterschätzender 
Vorteil im Vergleich zu den insoweit 
fast ausschließlich zentral verfass- 
ten Mitgliedstaaten. Andererseits hat 
auch Deutschland als Mitgliedstaat 
letztlich nur eine Stimme im europä- 
ischen Konzert, wie Art. 68 Abs. 3 
und 4 DSGVO zeigt. Demnach muss 
Deutschland einen gemeinsamen Ver- 
treter für den Europäischen Datenschut- 
zausschuss (EDSA) benennen. Dar- 
über hinaus muss gem. Art. 51 Abs. 3 
DSGVO sichergestellt werden, dass 
das Kohärenzverfahren auch in einem 
Staat mit föderaler Aufsicht funktio- 
niert, weshalb nach EG 119 eine zent- 
rale Anlaufstelle einzurichten ist. 

Damit Deutschland dennoch mit ei- 
ner starken und ernstzunehmenden 
Stimme spricht, bedarf es einer in der 
europäischen Zusammenarbeit mit 
ausreichenden Ressourcen versehenen 
Aufsichtsbehörde, die die genannten 
Aufgaben wahrnimmt. Der Bundesge- 
setzgeber sollte daher die BfDI zum 
gemeinsamen Vertreter bestimmen 
und die zentrale Anlaufstelle bei ihr 
einrichten. Zugleich müssen die Inter- 
essen und Kompetenzen der Aufsichts- 
behörden der Länder im Rahmen ihrer 
nationalen Zuständigkeiten auch in 
Europa eine starke Rolle spielen. Des- 
halb ist es nicht zuletzt aufgrund der in- 
nerstaatlichen Kompetenzordnung des 
Grundgesetzes unabdingbar, dass sich 
immer auch ein Landesvertreter — in 
der Rolle als stellvertretendes Mitglied 
1. S. v. Art. 68 Abs. 3 DSGVO - unmit- 
telbar im EDSA einbringen und damit 
das deutsche Gewicht in Europa erheb- 
lich verstärken kann. Nicht im numeri- 
schen, aber im faktischen Sinne. 


2. Nutzung der nationalen Spielräu- 
me im Sinne des Datenschutzes 


Angesichts der Vielzahl von natio- 
nalen Regelungsmöglichkeiten erwar- 


te ich, dass die Gesetzgeber in Bund 
und Ländern diese Spielräume in einer 
Weise nutzen, die sich am Recht auf 
informationelle Selbstbestimmung ori- 
entiert. 

Dazu gehört die weitergehende ver- 
pflichtende Bestellung betrieblicher 
Datenschutzbeauftragter ebenso wie die 
Schaffung eines Beschäftigtendaten- 
schutzgesetzes. Darüber hinaus sind die 
Befugnisse der Aufsichtsbehörden, ins- 
besondere eine Klagebefugnis sowie die 
für Deutschland bislang nicht vorhande- 
nen Anordnungs- und Untersagungsbe- 
fugnisse im öffentlichen Bereich im Sin- 
ne einer wirksamen Datenschutzaufsicht 
auszugestalten. 

Die Konferenz der unabhängigen Da- 
tenschutzbehörden des Bundes und der 
Länder hat in einer Entschließung neben 
den genannten Themen weitere Punkte 
benannt, die Gesetzgeber berücksichti- 
gen sollten * 


1 Die Autorin Voßhoff ist Bundesbeauftrag- 
te für den Datenschutz und die Informati- 
onsfreiheit, der Autor Hermerschmidt ist 
dort Referent und Leiter der Projektgrup- 
pe „Revision des Europäischen Daten- 
schutzrechts“. 


2 Verordnung (EU) 2016/679, ABl. EU 
2016, L 119/1 


3 Voßhoff/Hermerschmidt, DANA 2015, 
117 


4 Entschließung „Stärkung des Daten- 
schutzes in Europa — Nationale Spielräu- 
me nutzen“ vom 6./7.4.2016, http://www. 
bfdi.bund.de/SharedDocs/ 
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BvD - Thomas Spaeing 


Roten Linien des BvD zur DS-GVO - so sieht's aus! 


Europa hat sich ein neues Daten- 
schutzrecht gegeben, das ist eine gute 
Nachricht. Wirklich, in diesen Tagen 
muss man dies betonen: Die 28 Mit- 
gliedsstaaten haben sich, nach über 
vier Jahren an Diskussionen und ge- 
waltiger Anteilnahme von außen, auf 
ein, wenn auch nicht einheitliches, so 
doch in Grundsätzen gemeinsames Da- 
tenschutzrecht geeinigt. Eine gewaltige 
Leistung für 28 so verschiedene Staaten 
und dazu in diesen Tagen und bei den 
zahlreichen anderen großen Themen. 
Hierfür ist den zuständigen Akteuren zu 
danken! 

Dass Datenschutz innerhalb Europas 
nun überall gleich funktioniert, darf man 
nicht erwarten. Die Öffnungsklauseln 
einerseits und die Unterschiedlichkeit in 
der Umsetzung andererseits bieten noch 
genügend Spielraum für deutlich ausei- 
nanderliegende Varianten und Anwen- 
dungen der neuen Regelungen. Doch 
dazu später mehr. Zunächst wollen wir 
einen Blick werfen auf die roten Linien 
des BvD vom Sommer 2015 — als noch 
gar nicht klar war, auf was EU-Parla- 
ment und EU-Rat sich am Ende einigen 
würden. 


Der Grundrechtsschutz in der 
DS-GVO 


Das Verbot mit Erlaubnisvorbehalt 
wird beibehalten (Art. 6 DS-GVO). Eu- 
ropa ist dem Ansatz der Prävention treu 
geblieben: Ohne Rechtsgrundlage keine 
Verarbeitung personenbezogener Daten. 
Obwohl zuletzt zur Ermöglichung neu- 
er Geschäftsmodelle der Wegfall dieses 
Prinzips gefordert wurde — und teilweise 
immer noch gefordert wird, konnte hier 
der Schutz der natürlichen Person bei 
der Verarbeitung seiner Daten an Art. 8 
der Charta der Grundrechte der EU aus- 
gerichtet werden. 

Das Verbotsprinzip ist also weiterhin 
die wichtigste Säule eines wirksamen 
Datenschutzes, der die Bewohner der 
EU davor bewahrt, den Einfluss und 
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Überblick über die Verarbeitung ihrer 
Daten zu verlieren. Die Einhaltung die- 
ses Prinzips wird weiterhin durch die 
Datenschutzaufsichtsbehörden in den 
Mitgliedsstaaten überwacht und — so- 
weit noch vorhanden — auch durch die 
betrieblichen und behördlichen Daten- 
schutzbeauftragten gewährleistet. 


Zweckbindung bleibt 


Auch bei der Zweckbindung sah es 
lange so aus, als ginge diese im Strudel 
der Interessen verloren. Durch die Rege- 
lung in Art. 5 Abs.1 lit. b DS-GVO wird 
die Zweckbindung im europäischen Da- 
tenschutzrecht verankert. Damit dürfen 
personenbezogene Daten wie bisher 
nur für eindeutige, festgelegte zulässige 
Zwecke verarbeitet werden. Zweckän- 
derungen sind nur erlaubt, wenn die Än- 
derungen mit dem ursprünglichen Erhe- 
bungszweck (Art. 5 Abs. 1 lit.b und Art. 6 
Abs. 4 DS-GVO) vereinbar sind. Da- 
bei werden jetzt auch Kriterien festge- 
legt, nach denen die Zulässigkeit einer 
Zweckänderung zu beurteilen ist. Zu- 
dem legt die DS-GVO der für die Ver- 
arbeitung verantwortlichen Stelle auch 
umfassende Informationspflichten auf 
(Artt. 13 und 14), so dass die Betroffe- 
nen weitaus umfassender als bisher über 
die Verarbeitungen zu informieren sind. 

Insbesondere die Regelungen in Art. 6 
Abs. 4 DS-GVO können aber unter- 
schiedlich verstanden werden und hier 
bleibt abzuwarten, welche Lesart seitens 
der Aufsichtsbehörden und auch der 
Rechtsprechung vorgegeben werden. 
Eine Verschlüsselung stellt noch keine 
Garantie im Sinne dieser Regelung dar. 
Schon bisher wurde eine Verschlüsse- 
lung von Daten immer mal wieder auf 
eine Stufe mit anonymisierten oder 
pseudonymisierten Daten gestellt. Um 
dazu eine Aussage treffen zu können, ist 
aber stets zu prüfen, wie und mit wel- 
cher Güte verschlüsselt wird. Zudem ist 
ein Verschlüsselungsverfahren immer 
mit einem Haltbarkeitsdatum zu ver- 


sehen, da allein durch den technischen 
Fortschritt ehemals sichere Verschlüs- 
selungsmechanismen hinfällig werden. 
Bei diesen technischen Fragestellungen 
wird sich auswirken, dass die DS-GVO 
sich mehr auf Schutzziele ausrichtet, 
denn nur auf eine checklistenmäßige 
Abprüfung der Maßnahmen nach Anla- 
ge zu $9 BDSG. Es wird dabei eine Aus- 
richtung nach dem „Stand der Technik“ 
erwartet, anstatt „anerkannte Regeln der 
Technik“, die mit einem niedrigeren Si- 
cherheitsniveau ausgelegt werden. 

Hier kommt auch den betrieblichen 
Datenschutzbeauftragten eine wichtige 
Rolle zu. Sie müssen die Zweckbindun- 
gen und Zweckänderungen sowie eine 
Maßnahmenergreifung nach Gesichts- 
punkten der Informationssicherheit 
prüfen und hierzu beraten, um Risiken 
für Betroffen wie auch Verarbeiter zu 
vermeiden. 


Datenminimierung ersetzt 
Datensparsamkeit 


An dieser Stelle muss eine zeitwei- 
lig ebenfalls durch Streichung bedroh- 
te Regelung hingewiesen werden. Die 
Datensparsamkeit aus dem BDSG galt 
lange als umstritten und wurde nun mit 
der Regelung in Art. 5 Abs. 1 lit. c un- 
ter dem Begriff der Datenminimierung 
in die Grundsätze aufgenommen. Damit 
bleibt ein wesentliches Datenschutz- 
prinzip auch auf europäischer Ebene ge- 
wahrt. Beide Regelungen sollen wahllo- 
se Big-Data-Analysen nach dem Prinzip 
„alles rein, dann schauen wir mal, was 
passiert“ verhindern und einen zielge- 
richteten Smart-Data-Ansatz fördern: 
Analysen nur mit den für den Zweck 
sinnvollen und zulässigen Daten durch- 
zuführen. 

Auch hier wird der Datenschutzbeauf- 
tragte wichtige Unterstützung leisten, 
indem er bereits bei der Konzeption von 
Analysen auf diese Prinzipien hinwirkt 
und hilft, kostenintensive Fehlanalysen 
zu vermeiden. 
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Wirksame Aufsichtsstrukturen 


Für die Durchsetzung der Betroffe- 
nenrechte sind wirksame Aufsichtsstruk- 
turen unerlässlich. Die DS-GVO hat 
hier mit den Regelungen in Artt. 51 ff 
die Voraussetzungen geschaffen, um 
die Aufsichtsbehörden EU-weit hand- 
lungsfähig zu machen. Es bleibt aber 
abzuwarten, ob und wie schnell die EU- 
Staaten diesen Vorgaben folgen werden. 
Zudem ist offen, ob die bisherige Pra- 
xis, Datenschutzrecht unterschiedlich zu 
interpretieren und daraus vollkommen 
andere Handlungen abzuleiten, durch 
die DS-GVO ein Ende hat. Auch in 
Deutschland wurde EU-Recht gelegent- 
lich erst durch den EuGH zur Geltung 
verholfen. Bleibt die Umsetzungstreue 
der Mitgliedsstaaten derart schwach 
ausgeprägt, so wird die DS-GVO hier 
ein zahnloser Tiger. Aufsichtsbehör- 
den ohne Kapazität und zudem noch 
an europäische Abstimmungsverfahren 
(Kohärenzverfahren) gebunden, werden 
keine Aufsicht ausüben und somit auch 
keine Sanktionen verhängen können. 

Wir sehen, auch hier bieten sich den 
Mitgliedsstaaten Möglichkeiten, die 
DS-GVO ganz unterschiedlich umzuset- 
zen. Der Zwang zur EU-weiten Abstim- 
mung — so wichtig er für eine einheitli- 
che Rechtspraxis ist — kann u. U. zudem 
zu einer regelrechten Lähmung des be- 
hördlichen Aufsichtssystems führen. 


EU-weite Bestellpflicht des be- 
trieblichen Datenschutzbeauf- 
tragten 


Dies ist eine besondere Leistung: 
EU-weit müssen in bestimmten Fällen 
nun betriebliche und behördliche Da- 
tenschutzbeauftragte (bDSB) installiert 
werden. Während allerdings Behörden 
immer einen bDSB bestellen müssen, 
sind Unternehmen nur unter bestimmten 
Voraussetzungen dazu verpflichtet (s.a. 
CuA 4/2016, S. 8 ff, T. Weichert). Zu 
diesen Regelungen wurde zudem eine 
Öffnungsklausel in Art. 37 Abs. 4 DS- 
GVO dokumentiert, die nun durch die 
nationalen Gesetzgeber formuliert wer- 
den muss. 

Um die DS-GVO für die deutsche 
Wirtschaft wirksam und wirtschaftlich 
umzusetzen, ist der betriebliche Daten- 
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schutzbeauftragte das bewährte Inst- 
rument. Damit die Unternehmen auch 
zukünftig durch ihren bDDSB unterstützt 
werden, sollte der deutsche Gesetzgeber 
die Öffnungsklausel im Sinne der be- 
währten Regelungen nutzen und Klar- 
heit schaffen. Der Interpretationsspiel- 
raum der DS-GVO kann so aufgelöst 
und die Erfahrung und das Know-how 
der bDDSB weiterhin zielgerichtet einge- 
setzt werden. Hiervon profitieren Unter- 
nehmen und Betroffene gleichermaßen. 
Angesichts der erheblichen Ausweitung 
der Datenverarbeitungen in den nächs- 
ten Jahren hilft den Unternehmen die 
Vertrauensposition des Datenschutzbe- 
auftragten das dringend benötigte Ver- 
trauen der Kunden und Mitarbeiter in 
Unternehmen und dessen Datenverar- 
beitung zu erhalten und auszubauen. 

In Zusammenhang mit dieser Öff- 
nungsklausel sollte der deutsche Gesetz- 
geber — ganz im Sinne der bisherigen 
Regelungen - die in der DS-GVO feh- 
lenden Regelungen zum bDSB weiter- 
führen. Insbesondere ist die Verschwie- 
genheit des DSB in der DS-GVO nicht 
ausreichend geregelt. Hier sollten die 
bewährten Regelungen des BDSG über- 
nommen werden. Ferner war der Kündi- 
gungsschutz im BDSG weitgehender als 
der Abberufungsschutz in der DS-GVO. 
Hier sollte in konsequenter Umsetzung 
der Unabhängigkeitsanforderungen an 
den bDSB ebenfalls auf die BDSG-Re- 
gelung zurückgegriffen werden. 

Die DS-GVO hält somit zwei weite- 
re Bestandteile der Aufsichtsstrukturen 
bereit: 

« Der betriebliche Datenschutzbeauf- 
tragte wird auf EU-Ebene etabliert. 

« Das Verbandsklagerecht wird gestärkt 
und damit eine weitere Aufsichtskom- 
petenz vergeben. 


Rechenschaftspflicht und Com- 
pliance 


Die DS-GVO verschiebt das Gewicht 
im Datenschutz mehr in Richtung Com- 
pliance — die verarbeitenden Stellen 
müssen nachweisen, dass alles Notwen- 
dige zur Einhaltung der Regelungen un- 
ternommen wurde. Hier bieten sich nun 
verschiedene Möglichkeiten. Zunächst 
denkt man an umfassende Richtlinien 
und Dokumentationen zu allen Verarbei- 
tungsschritten. Ein anderer Ansatz hat 


sich allerdings vielfach als pragmatisch 
und zielführend erwiesen: Ein Manage- 
mentsystem. Wir kennen solche Lösun- 
gen beispielsweise aus den Bereichen 
Qualität, Informationssicherheit oder 
Umweltschutz. 

Ein Datenschutzmanagementsystem 
ist der gebotene Ansatz, um die Anforde- 
rungen der DS-GVO wirtschaftlich und 
effizient in Unternehmen und Behörden 
umzusetzen. Darüber hinaus wird so die 
Grundlage für die in der DS-GVO gefor- 
derte Zertifizierung gelegt. Der Daten- 
schutzbeauftragte steht im Zentrum des 
Datenschutzmanagementsystems. Auf 
Basis seiner Erfahrung und fachlichen 
Kompetenz ist er in der Lage, die An- 
forderungen der DS-GVO professionell 
in die Gestaltung eines Datenschutzma- 
nagementsystems zu übertragen. Durch 
die zu einem solchen System gehören- 
den Prüfungen und Dokumentationen 
können die verarbeitenden Stellen ih- 
rer Rechenschaftspflicht nachkommen 
und gegenüber den Aufsichtsbehörden 
transparent und nachvollziehbar die im 
Unternehmen etablierten Maßnahmen 
nachweisen. 

Nicht wenige Unternehmen haben 
sich in den vergangenen Jahren bereits 
zu diesem Schritt entschlossen und 
profitieren so bereits heute von den be- 
währten Strukturen eines Datenschutz- 
managementsystems, welches unschwer 
auf die neuen Anforderungen der DS- 
GVO angepasst werden kann. 


Abschließend kann festgestellt wer- 
den, dass die DS-GVO, bei aller Vor- 
sicht, auch viele Chancen bietet Verar- 
beitungen neu zu konzipieren und zu ge- 
stalten. Dadurch kann der Datenschutz 
in den Unternehmen und Behörden pro- 
fessionalisiert werden. Insofern sind die 
roten Linien des BvD zwar stellenwei- 
se strapaziert, aber unter Einbeziehung 
der Öffnungsklauseln doch eingehalten 
worden. 


Ihr BvD-Ansprechpartner: 
Vorstandsvorsitzender Thomas Spaeing, 
Budapester Straße 31, 10787 Berlin, 
Tel: 030 .. 26 36 77 60, 

E-Mail: bvd-gs@bvdnet.de, 

Internet: https://www.bvdnet.de 
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digitalcourage - Friedemann Ebelt 


Was taugt die neue Datenschutzgrundverordnung”? 


Ab 2018 werden persönliche Daten 
in der Europäischen Union durch die 
neue Datenschutzgrundverordnung 
geschützt. Jahrelang hat Digitalcou- 
rage den Weg dahin kritisch begleitet 
mit Aktionen und Advocacy. Welche 
unserer fünf roten Linien für starken 
Datenschutz wurden schließlich ein- 
gehalten?! 


1. Prinzipien der Speicherung 
(50% erreicht)? 


Datensparsamkeit: Wir haben gefor- 
dert, dass Artikel 5 (c) Datensammlungen 
auf das Notwendigste beschränkt. Die 
Verordnung legt nun fest: „personenbe- 
zogene Daten müssen (...) auf das für 
die Zwecke der Verarbeitung notwendige 
Maß beschränkt sein.“ Das Prinzip der 
Datensparsamkeit wurde damit abge- 
schwächt und den Zwecken der Verar- 
beitung untergeordnet. Das verlagert die 
Crux auf die Zweckbindung (siehe 2.). 


Datenschutz durch Technikgestal- 
tung und durch datenschutzfreundliche 
Voreinstellungen wird in Artikel 23 ge- 
regelt. Wir haben gefordert, dass Artikel 
23 drei Kriterien enthält: 


(1) Das Kriterium „state of the art 
technology“ ist enthalten. Datenverar- 
beiter sollen beim Datensammeln den 
Stand der Technik berücksichtigen. Al- 
lerdings müssen hier gleichwertig die 
Kosten abgewogen werden. Das eröff- 
net erheblichen Spielraum. 

(2) Das von uns geforderte Kriterium 
„international best practices“ ist nicht in 
der Verordnung enthalten. 

(3) Die Kriterien „technical and or- 
ganisational measures“ sind enthalten. 
Allerdings wird hier, entgegen unserer 
Forderung, das Beispiel Pseudonymisie- 
rung genannt. 

Grundsätzlich ist es ein entscheiden- 
der Fortschritt, dass das Prinzip „data 
protection by design and by default“ in 
der Verordnung verankert ist. 
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2. Zweckbindung ohne 
Ausnahmen (30% erreicht) 


Eine strikte Zweckbindung schützt 
Bürger.innen vor ungewollter Profilbil- 
dung, vor übergrifiigen Auswertungen, 
vor Datenhandel ohne Einverständnis 
und weiteren, unabsehbaren Eingriffen 
in ihre Grundrechte. Die darum von uns 
geforderte ersatzlose Streichung von 
Artikel 6 (4) wurde umgesetzt. Artikel 6 
(3a) ist allerdings enthalten und erlaubt, 
unter einigen Bedingungen, unzweck- 
mäßige Datenverarbeitung. Hier ist die 
Verarbeitung von persönlichen Daten 
möglich, vorbei an der Zustimmung der 
betroffenen Person und vorbei an den 
Gesetzen der Mitgliedstaaten. 


3. Profilbildung nur mit expliziter 
Zustimmung (90% erreicht) 


Artikel 20 reguliert automatisiertes in- 
dividuelles Entscheiden und die Bildung 
von Profilen. Wir haben gefordert, dass 
Profilbildung nur erlaubt ist mit expliziter 
Zustimmung der betroffenen Personen. 
Denn die Auswertung und Verknüpfung 
von Bewegungs-, Kommunikations- oder 
Entscheidungsprofilen sind nicht abschätz- 
bare Gefahren für die Privatsphäre. Arti- 
kel 20 der neuen Verordnung garantiert 
Betroffenen das Recht, dass keine Profile 
über sie angelegt werden. Dafür gibt es 
drei Ausnahmen: Betroffene willigen ex- 
plizit in die Maßnahme ein, die Maßnahme 
ist für Vertragsangelegenheiten notwendig 
oder die Maßnahme ist durch das Gesetz 
des Mitgliedstaates rechtens. 

Rat und Kommission wollten ur- 
sprünglich den Betroffenen lediglich ein 
Widerspruchsrecht einräumen. Die Ar- 
beit für stärkeren Datenschutz hat sich 
an dieser Stelle ausgezahlt. 


4 Auskunftsrechte immer 
kostenfrei! (60% erreicht) 


Artikel 15 regelt, welche Daten Be- 
troffene bei den Verarbeitern einsehen 


können. Das ist die Basis für das Recht 
auf informationelle Selbstbestimmung. 

Wir haben gefordert, dass für Aus- 
künfte keine Gebühren anfallen dürfen. 
Die neue Verordnung regelt, dass die 
erste (elektronische) Kopie der Daten 
kostenfrei zur Verfügung gestellt wer- 
den muss. Für jede weitere kann eine 
angemessene Gebühr erhoben werden. 

Die Verordnung gibt Betroffenen um- 
fangreiche Rechte auf Auskunft und Zu- 
gang. Das umfasst unter anderem: Zweck 
und Dauer der Verarbeitung, das Recht 
eine Beschwerde an die Aufsichtsbehör- 
de zu richten und Informationen zur Lo- 
gik und Nutzung von Profilen. 

Wenn Daten an Dritte weitergegeben 
werden, haben Betroffene das Recht 
über die Sicherheit des Transfers nach 
Artikel 42 informiert zu werden. 


5 Datenportabilität ermöglichen 
(100% erreicht) 


Artikel 18 gibt Nutzer.innen das 
Recht, ihre Daten von einem Internet- 
Dienst zu einem anderen „mitzuneh- 
men”. Datenportabilität gibt die Mög- 
lichkeit, beispielsweise zwischen sozia- 
len Netzwerken frei wählen zu können. 
Das ermöglicht Wettbewerb und ver- 
hindert Monopole. Digitalcourage hat 
gefordert, dass Nutzer.innen ihre Daten 
ohne Behinderung durch Verarbeiter 
bewegen können und dass ihnen dafür 
die Daten in üblichen elektronischen 
Formaten zur Verfügung gestellt werden 
müssen. Zudem haben Nutzer.innen mit 
der neuen Verordnung das Recht, die 
Daten direkt zwischen den Verarbeitern 
bewegen zu lassen. 


Weiter mitgestalten! 


Die Europäische Datenschutzgrund- 
verordnung hat Rechte und Pflichten 
zwischen Staaten, Unternehmen und 
Nutzer.innen neu geordnet. Viele Über- 
griffe der Konzern-Lobby konnten ver- 
hindert werden. Trotz einiger Schwach- 
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stellen wurden entscheidende Regu- 
lierungen und Rechte erkämpft. Diese 
müssen jetzt genutzt werden. Das zu er- 
möglichen, ist die Aufgabe, die jetzt vor 
uns liegt. Eine weitere besteht darin, die 


noch offenen Spielräume datenschutz- 
freundlich zu gestalten. 


1 Zum Zeitpunkt der Beitragserstel- 
lung existierte keine endgültige deut- 


Digitale Gesellschaft — Volker Tripp 


Datenschutzgrundverordnung: 
Überfällige Reform mit Abstrichen 


Ganze vier Jahre hat es seit dem Vor- 
schlag der EU-Kommission bis zur 
Verabschiedung der Datenschutzgrund- 
verordnung durch das Europäische 
Parlament gedauert. Insbesondere der 
Ministerrat, in dem die Regierungen 
der EU-Mitgliedsstaaten vertreten sind, 
verschleppte das Gesetzesvorhaben zur 
Vereinheitlichung des Datenschutzes in 
Europa immer wieder und versuchte, die 
Reform mit immer neuen Einwänden und 
Vorschlägen zu verwässern. Zentrale Da- 
tenschutzprinzipien wie die Zweckbin- 
dung, die Einwilligung der Betroffenen 
oder die Datensparsamkeit sollten ins- 
besondere nach dem Willen der Vertre- 
ter Deutschlands, Großbritanniens und 
Frankreichs geschwächt und soweit wie 
möglich abgeschafft werden. Hintergrund 
des Bestrebens, diese Grundsätze aufzu- 
bohren, war die Hoffnung der Mitglieds- 
staaten, auch in Europa Geschäftsmodelle 
auf der Grundlage von „Big Data“, also 
dem Auswerten riesiger Datenmengen, zu 
befördern. 

Glücklicherweise konnte sich der Mi- 
nisterrat mit seiner überaus wirtschafts-, 
aber wenig datenschutzfreundlichen Hal- 
tung im Ergebnis nur bedingt durchset- 
zen. Obwohl das Europäische Parlament 
zumeist Schlimmeres verhindern konnte, 
hätte die Verordnung an vielen Stellen 
gleichwohl präziser, expliziter und konse- 
quenter ausfallen können. 

So hätte etwa bei der Einwilligung der 
Nutzerinnen und Nutzer in die Verarbei- 
tung ihrer Daten durchaus mehr erreicht 
werden können. Nur bei besonders sen- 
siblen Daten verlangt die Verordnung 
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eine ausdrückliche Einwilligung. In allen 
anderen Fällen lässt sie eine zweifelsfreie 
Einwilligung, etwa durch konkludentes 
Handeln, ausreichen. Dadurch entstehen 
neue Grauzonen, welche die Datensouve- 
ränität der Nutzerinnen und Nutzer eher 
schwächen als stärken. Schließlich ist die 
Einwilligung die wichtigste Vorausset- 
zung für die Zulässigkeit der Verarbeitung 
personenbezogener Daten. 

Obendrein hat sich der Gesetzgeber an 
zahlreichen Stellen der Verordnung auch 
vor einem echten Ausgleich zwischen den 
Interessen der Betroffenen einerseits und 
denen der datenverarbeitenden Unterneh- 
men andererseits gedrückt. Häufig wer- 
den schwammige und auslegungsbedürf- 
tige Begriffe verwendet, so dass unklar 
bleibt, wie der Ausgleich in der Praxis 
genau ausfallen wird. Unternehmen ha- 
ben beispielsweise das Recht, personen- 
bezogene Daten auch ohne Einwilligung 
der Betroffenen zu verarbeiten, wenn sie 
ein „berechtigtes Interesse“ an der Ver- 
arbeitung haben. Da die Verordnung die- 
sen Begriff selbst nicht näher definiert, 
werden letztlich Aufsichtsbehörden und 
Gerichte entscheiden müssen, wann ein 
solches Interesse vorliegt. 

Anhand der Häufigkeit, mit der solche 
unbestimmten Rechtsbegriffe in der Da- 
tenschutzgrundverordnung Verwendung 
finden, lässt sich auch gut ablesen, wie 
schwierig es für die Gesetzgebungsor- 
gane der EU war, sich auf einen Text zu 
einigen. An insgesamt mehr als 60 Stellen 
der Verordnung finden sich nationale Öff- 
nungsklauseln, die teils elementare Rege- 
lungen betreffen. Dies schwächt die Har- 


sche Übersetzung der Verordnung. 
Darum können hier verwendete Begrif- 
fe vom offiziellen Text abweichen. 


2 Um übersichtlich zu sein, ist jeweils grob 
eingeschätzt, zu wie viel „Prozent“ un- 
sere roten Linien eingehalten wurden. 


monisierungswirkung der Verordnung 
ganz erheblich und rückt das Ziel, Europa 
in eine echte Datenunion mit einheitli- 
chen Schutzstandards zu verwandeln, in 
weite Ferne. 

In einigen Punkten konnten jedoch 
auch Fortschritte erzielt werden. Beson- 
ders erfreulich ist etwa, dass das Prinzip 
der Datensparsamkeit nunmehr nicht nur 
europaweit gesetzlich verankert wurde, 
sondern sogar bereits in der Gestaltungs- 
phase neuer Systeme und Algorithmen zu 
berücksichtigen ist. Das mag zwar ins- 
besondere von Anbietern, die mit „Big 
Data“-Geschäftsmodellen liebäugeln, als 
Belastung und als Einschränkung ihrer 
unternehmerischen Freiheit empfunden 
werden. Die Stärkung der Datensparsam- 
keit könnte allerdings auch einen Inno- 
vationsschub bei den Geschäftsmodellen 
datenverarbeitender Unternehmen auslö- 
sen und so langfristig dazu beitragen, Eu- 
ropa als „Kontinent des Datenschutzes“ 
zu etablieren. 

Auch ein weiteres Kernprinzip des Da- 
tenschutzes, die Zweckbindung, konnte 
glücklicherweise erhalten und in der Ver- 
ordnung festgeschrieben werden. Gerade 
im Zusammenspiel mit den ebenfalls vor- 
gesehenen Informationspflichten leistet 
die Zweckbindung einen wichtigen Bei- 
trag zur Stärkung der Datensouveränität. 
Vor jeder Erhebung, Verarbeitung oder 
Nutzung ihrer personenbezogenen Daten 
müssen die Betroffenen über sämtliche 
entscheidungsrelevanten Umstände sowie 
den Zweck in leicht verständlicher Form 
in Kenntnis gesetzt werden. Im Verhältnis 
zur bisherigen Rechtslage in Deutsch- 
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land ist das zwar keine echte Neuerung; 
da jedoch auch das Marktortprinzip in 
der Verordnung verankert wurde, müssen 
sich nun sämtliche datenverarbeitenden 
Unternehmen, die in der EU Geschäfte 
machen, an diese Regeln halten. Die Auf- 
sichtsbehörden, bisher oft als zahnlose 
Tiger verspottet, können Verstöße zudem 
mit Bußgeldern von bis zu 4 % des welt- 
weiten Jahresumsatzes ahnden. 


GDD - Andreas Jaspers 


Bundesregierung und Bundestag stehen 
nun vor der großen Aufgabe, die deutsche 
Rechtslage an die Vorgaben der Verord- 
nung anzupassen. Dies bedeutet einerseits, 
dass zahlreiche bestehende Gesetze wie 
das Bundesdatenschutzgesetz oder das Te- 
lemediengesetz zu großen Teilen aufgeho- 
ben werden müssen, um redundante oder 
abweichende nationale Regelungen zu 
vermeiden. Andererseits müssen die zahl- 


reichen Öffnungsklauseln in deutsches 
Recht umgesetzt werden. Dabei wird sich 
zeigen, ob Bundesregierung und Bundes- 
tag den Geist der Reform verinnerlicht ha- 
ben oder eher versuchen werden, ihn wei- 
ter zu verwässern. Mit der Verabschiedung 
der Datenschutzgrundverordnung haben 
die Befürworter des Datenschutzes eine 
wichtige Schlacht gewonnen, den Krieg 
hingegen noch lange nicht. 


Der Datenschutzbeauftragte in der Datenschutz- 
Grundverordnung — Handlungsbedarf des 
deutschen Gesetzgebers 


Bestellpflicht mit Öffnungsklausel 


Eine der Innovationen des neuen eu- 
ropäischen Datenschutzrechts stellt die 
verpflichtende Bestellung von behördli- 
chen und betrieblichen Datenschutzbe- 
auftragten auf europäischer Ebene dar. 
Während die EU-Datenschutzrichtlinie 
von 1995 die Bestellung nur fakultativ 
vorsah, ist diese europaweit für Behör- 
den oder öffentliche Stellen verpflich- 
tend. Für die Privatwirtschaft ist die 
Bestellung aber nur bei Unternehmen 
obligatorisch, deren „Kerntätigkeit aus 
Verarbeitungsvorgängen besteht, wel- 
che auf Grund ihres Wesens, ihres Um- 
fangs und/oder ihrer Zwecke eine regel- 
mäßige und systematische Beobachtung 
von betroffenen Personen erforderlich 
machen“. Ebenso sollen nur Datenver- 
arbeiter, deren Kerntätigkeit aus der 
Verarbeitung besonderer Kategorien 
von Daten gemäß Artikel 9 und 10 der 
DS-GVO „in großem Umfang“ besteht, 
einer Bestellpflicht unterfallen. 

Die Pflicht zur Bestellung eines Da- 
tenschutzbeauftragten soll sich künftig 
nicht nur aus der DS-GVO selbst erge- 
ben können. Insbesondere aufgrund des 
Bestrebens Deutschlands im Rahmen der 
Verhandlungen zur DS-GVO wurde in 
Art. 37 Abs. 4 DS-GVO eine Öffnungs- 
klausel vorgesehen, die es ermöglicht, 
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auf der Ebene des EU-Rechts bzw. des 
nationalen Rechts im Verhältnis zur DS- 
GVO weitergehende Verpflichtungen zur 
Bestellung von Datenschutzbeauftragten 
vorzusehen. Art. 37 Abs. 4 DS-GVO 
stellt überdies klar, dass die freiwillige 
Bestellung von Datenschutzbeauftragten 
unbenommen ist. 

Der deutsche Gesetzgeber sollte die 
Öffnungsklausel nutzen und die bewähr- 
ten Bestellvoraussetzungen, wie sie ak- 
tuell in $ 4f Abs. 1 BDSG geregelt sind, 
beibehalten. Da die Voraussetzungen 
nach der DS-GVO für eine Bestellpflicht 
nur von einer sehr kleinen Anzahl von 
Unternehmen erfüllt werden, wäre sonst 
die Konsequenz, dass in Deutschland die 
Bestellung betrieblicher Datenschutz- 
beauftragter in Industrie, Handel und 
Mittelstand mit Geltung der DS-GVO 
auslaufen würde. Betroffene hätten einen 
Anwalt für ihre Rechte und Interessen 
in den Unternehmen verloren. Zugleich 
wäre für die Unternehmensleitung der 
unabhängige Berater und Garant der 
Selbstkontrolle auf betrieblicher Ebene 
wegfallen. 

Von daher ist die von der GDD gefor- 
derte und vom Bundesinnenministerium 
für zwingend erklärte zusätzliche nati- 
onale Öffnungsklausel in Art. 37 Abs. 
4 DS-GVO für die betriebliche Selbst- 
kontrolle von großer Bedeutung. Damit 


kann in Deutschland die Selbstkontrolle 
auf betrieblicher Ebene durch einen un- 
abhängigen Berater erhalten bleiben. Das 
Bundesinnenministerium hat angekün- 
digt, die Bestellungsvoraussetzungen 
für einen betrieblichen Datenschutzbe- 
auftragten in einem Verordnungsergän- 
zungsgesetz gegenüber dem BDSG un- 
verändert zu regeln. Es käme damit auch 
einem Beschluss des Deutschen Bundes- 
tages nach, wonach die Bundesregierung 
aufgefordert wird, „das in Deutschland 
bestehende und bewährte System der Be- 
auftragten für den Datenschutz in Unter- 
nehmen und der Verwaltung“ in der EU- 
DS-GVO nicht zu gefährden (BT-Drs. 
17/11325, Abschnitt II., Nr. 21). 


Abberufungsschutz, aber kein 
Kündigungsschutz 


Der Datenschutzbeauftragte darf nach 
der Grundverordnung nicht wegen der 
Erfüllung seiner Aufgaben benachteiligt 
oder abberufen werden (Art. 38 Abs. 3). 
Der Abberufungsschutz ist jedoch nicht 
durch einen arbeitsrechtlichen besonde- 
ren Kündigungsschutz wie in $ 4f Abs. 
3 Satz 5 und 6 BDSG flankiert. Dieser 
ist mit der Novelle aus dem Jahr 2009 in 
das BDSG aufgenommen worden, da der 
Abberufungsschutz eines betrieblichen 
(Teilzeit-)Datenschutzbeauftragten nach 
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der Rechtsprechung bis dahin nie zu ei- 
nem Kündigungsschutz geführt hatte. 
Hier ist wieder der deutsche Gesetzgeber 
gefragt, den Datenschutzbeauftragten 
auch arbeitsrechtlich abzusichern. 


Verschwiegenheitspflicht 


Ein weiterer Handlungsbedarf besteht 
bei der Verschwiegenheitspflicht des 
Datenschutzbeauftragten. Nach Art. 38 
Abs. 4 DS-GVO können betroffene 
Personen den Datenschutzbeauftrag- 
ten zu allen mit der Verarbeitung ihrer 
personenbezogenen Daten und mit der 
Wahrnehmung ihrer Rechte aus der Ver- 
ordnung in Zusammenhang stehenden 
Fragen zu Rate ziehen. Diese Regelung 
entspricht im Wesentlichen der nati- 
onalen Regelung in $ 4f Abs. 5 Satz 2 
BDSG, wonach sich Betroffene jeder- 
zeit an den Beauftragten für den Daten- 
schutz wenden können. Nach bestehen- 
dem Recht steht die Tätigkeit des Da- 
tenschutzbeauftragten als „Anwalt der 
Betroffenen“ in engem Zusammenhang 
zu dessen Verschwiegenheitspflicht aus 
$ 4f Abs. 4 BDSG. Nach dieser Rege- 
lung ist der Datenschutzbeauftragte zur 
Verschwiegenheit über die Identität 
des Betroffenen sowie über Umstände, 
die Rückschlüsse auf diesen zulassen, 
verpflichtet, soweit er nicht hiervon 
befreit wird. Besondere Bedeutung er- 
langt die Verpflichtung zur Wahrung 


der Vertraulichkeit im Bereich des Be- 
schäftigtendatenschutzes, drohen doch 
ggf. karrieremäßige Nachteile, wenn 
bekannt wird, dass sich ein Mitarbeiter 
zwecks Überprüfung der Verarbeitung 
seiner personenbezogener Daten an den 
Datenschutzbeauftragten gewandt hat. 
Eine vergleichbare Pflicht wie in $ 4f 
Abs. 4 BDSG ist in der DS-GVO nicht 
vorgesehen. Festgestellt wird nur, dass 
der Datenschutzbeauftragte nach dem 
Recht der Union oder der Mitgliedstaa- 
ten bei der Erfüllung seiner Aufgaben an 
die Wahrung der Geheimhaltung oder 
der Vertraulichkeit gebunden ist (Art. 38 
Abs. 5 DS-GVO). Insofern ist es drin- 
gend geboten, die bisherigen nationalen 
Vorschriften zur Verschwiegenheit des 
Datenschutzbeauftragten aufrechtzuer- 
halten. Hierzu zählen auch $ 4f Abs. 4a 
BDSG und $ 203 Abs. 2a StGB. 


Verstärkte Compliance-Funktion 


Die Aufgaben der betrieblichen und 
behördlichen Datenschutzbeauftragten 
sind durch eine verstärkte Compliance- 
Funktion gekennzeichnet. Operative 
Aufgaben des BDSG wie die Schulung 
der Mitarbeiter oder die Programmprü- 
fung entfallen. Die Datenschutzfolgen- 
abschätzung, die die Vorabkontrolle 
ablöst, fällt in die Verantwortung des 
Unternehmens oder der Behörde. Der 
Datenschutzbeauftragte ist aber gemäß 


Art. 35 Abs. 2 DS-GVO in die Daten- 
schutzfolgeabschätzung einzubinden. 
Damit entfällt auch die „Zweifelsfall- 
regelung“, die dem Datenschutzbeauf- 
tragten die Pflicht auferlegt, selbständig 
die Aufsichtsbehörde zu konsultieren. 
Gleichwohl ist er gemäß Art. 39 Abs. 1 
lit. e DS-GVO Ansprechpartner für 
die Aufsichtsbehörden in allen Daten- 
schutzfragen inklusive im Verfahren der 
vorherigen Konsultation nach Art. 36 
DS-GVO. 

Die Rechtstellung des Datenschutzbe- 
auftragten gemäß Art. 38 DS-GVO ist 
vergleichbar mit der gemäß BDSG. So 
agiert er weisungsfrei, bei gleichzeitiger 
unmittelbarer Berichtsmöglichkeit ge- 
genüber der höchsten Managementebe- 
ne. In diesem Zusammenhang erfolgt 
auch die Klarstellung, dass eine Unter- 
nehmensgruppe einen einzelnen Beauf- 
tragten für den Datenschutz bestellen 
kann (Art. 35 Abs. 2 DS-GVO) 

Der Entwurf der DS-GVO beinhaltet 
keine abschließende Aufgabenzuwei- 
sung. Dies unterstreicht Art. 38 Abs. 6 
DS-GVO, der die Wahrnehmung anderer 
Aufgaben nur unter den Vorbehalt eines 
Interessenkonflikts stellt. Sollen vom Da- 
tenschutzbeauftragten über den normativ 
verbindlich geregelten Bereich hinaus 
Aufgaben übernommen werden, bedarf 
es einer entsprechenden Zuweisung in der 
Stellenbeschreibung. Hier sind Arbeitge- 
ber und Datenschutzbeauftragter gefragt. 


Konferenz der Datenschutzbeauftragten des Bundes und der Länder — 
Prof. Dr. Michael Ronellenfitsch, Barbara Dembowski, Michael Kaiser, 
Maria Christina Rost, Julia Stoll, Dr. Rita Wellbrock 


Stärkung des Datenschutzes in Europa — 
nationale Spielräume 


Am 4. Mai 2016 wurde die Daten- 
schutz-Grundverordnung (DSGVO, 
Verordnung (EU) 2016/679) im Amts- 
blatt der EU veröffentlicht. Bis zum 
25. Mai 2018 haben die nationalen 
Gesetzgeber nun Zeit, die nationalen 
Spielräume zu analysieren und auszu- 
gestalten. 
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1. Sozial- und 
Gesundheitsbereich 


Für die Verarbeitung von Sozial- und 
Gesundheitsdaten sind die Art. 6 (Recht- 
mäßigkeit der Verarbeitung) und Art. 9 der 
DSGVO (besondere Kategorien personen- 
bezogener Daten) von zentraler Bedeutung. 


Gemäß Art. 6 Abs. 2 können die Mit- 
gliedstaaten spezifischere Bestimmun- 
gen zur Anpassung der Anwendung 
der Vorschriften der DSGVO in Bezug 
auf die Verarbeitung zur Erfüllung von 
Abs. 1 lit. c) und lit. e) beinhalten oder 
einführen, indem sie spezifische Anfor- 
derungen für die Verarbeitung sowie 


75 


sonstige Maßnahmen präziser bestim- 
men, um eine rechtmäßig und nach Treu 
und Glauben erfolgende Verarbeitung zu 
gewährleisten. Gemäß Art. 6 Abs. 1 lit. e) 
ist die Verarbeitung personenbezogener 
Daten rechtmäßig, wenn die Verarbei- 
tung für die Wahrnehmung einer Aufgabe 
erforderlich ist, die im öffentlichen Inte- 
resse liegt oder in Ausübung hoheitlicher 
Gewalt erfolgt, die dem für die Verarbei- 
tung Verantwortlichen übertragen wurde. 
Diese Voraussetzungen werden im Hin- 
blick auf zahlreiche gesetzliche Regelun- 
gen im Sozial- und Gesundheitsbereich 
bejaht werden können, z.B. im SGB. Die 
Öffnungsklausel des Art. 6 Abs. 2 erlaubt 
dem nationalen Gesetzgeber Konkretisie- 
rungen und Präzisierungen, jedoch keine 
grundsätzlichen Änderungen der DS- 
GVO. Soweit Gesundheitsdaten (Art. 4 
Abs. 15) verarbeitet werden, ist besonders 
Art. 9 zu beachten. Art. 9 Abs. 1 enthält ein 
Verarbeitungsverbot für besondere Kate- 
gorien personenbezogener Daten, d.h. 
Daten, die als besonders schützenswert 
bewertet werden. Gemäß Art. 9 Abs. 2 
gibt es Ausnahmen von diesem Verarbei- 
tungsverbot. Als weitere Einschränkung 
der Ausnahmen vom Verarbeitungsver- 
bot sieht Art. 9 Abs. 3 vor, dass eine Da- 
tenverarbeitung zu den in Art. 9 Abs. 2 
genannten Zwecken nur dann zulässig 
ist, wenn die datenverarbeitenden Perso- 
nen besonderen, auf nationalem oder eu- 
ropäischem Recht basierenden, Geheim- 
haltungspflichten unterliegen. 

Die Voraussetzungen des Art. 9 Abs. 2 
werden im Hinblick auf zahlreiche ge- 
setzliche Regelungen im Gesundheitsbe- 
reich bejaht werden können, z.B. im Hin- 
blick auf das Infektionsschutzgesetz. Die 
Vorgaben des Art. 9 Abs. 3 werden durch 
die in Deutschland vorhandenen Rege- 
lungen zur ärztlichen Schweigepflicht 
und zum Sozialgeheimnis erfüllt. 

Schließlich erlaubt Art. 9 Abs. 4 den 
Mitgliedstaaten, weitere Bestimmungen, 
einschließlich Beschränkungen zur Ver- 
arbeitung genetischer Daten, biometri- 
scher Daten oder Gesundheitsdaten, bei- 
zubehalten oder einzuführen. Der natio- 
nale Gesetzgeber darf daher im Hinblick 
auf die Verarbeitung besonderer Katego- 
rien personenbezogener Daten nicht nur 
Konkretisierungen vornehmen, sondern 
auch die sich aus der DSGVO ergeben- 
den Verarbeitungsbefugnisse beschrän- 
ken. Im Erwägungsgrund 53 wird darauf 
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hingewiesen, dass die nationalen Rege- 
lungen jedoch den freien Verkehr perso- 
nenbezogener Daten innerhalb der Union 
nicht beeinträchtigen sollte. Ob und wie 
der Gesetzgeber davon Gebrauch macht, 
kann zum jetzigen Zeitpunkt nicht ab- 
schließend bewertet werden. 


2. Auskunfteienwesen 


Die spezifischen Sondervorschrif- 
ten für Auskunfteien, die bisher in den 
$$ 28a ff. BDSG enthalten und von ei- 
nem breiten Konsens zwischen den Auf- 
sichtsbehörden und den Auskunfteien 
getragen sind, fallen durch die DSGVO 
vollständig weg. Dadurch ist die Rechts- 
sicherheit gefährdet und es droht eine 
erhebliche Ausweitung der von Auskunf- 
teien gespeicherten, übermittelten und 
für Scoringzwecke genutzten Daten. 

Die von Auskunfteien genutzten Da- 
ten sind wegen ihrer Entscheidungser- 
heblichkeit im privaten Rechtsverkehr 
in ganz besonderem Maße dazu geeig- 
net, die Rechte von Betroffenen zu be- 
einträchtigen. 

Durch den Erhalt der Inhalte von 
$ 28a BDSG in einem nationalen Gesetz 
sollten daher die Besonderheiten der 
deutschen Auskunfteienlandschaft be- 
rücksichtigt und die Rechte der Betrof- 
fenen gestärkt werden. 


3. Auskunftspflichten 


Aus $ 34 Abs. 2 Satz 1 Nr. 1 und $ 34 
Abs. 4 BDSG ergeben sich umfangrei- 
che Auskunftspflichten, die auf Score- 
werte im Sinne des $ 28b BDSG gerich- 
tet sind. Macht eine betroffene Person 
ihre Auskunftsrechte geltend, kann sie 
die Auswirkungen des Scorings durch 
Erhalt von kürzlich übermittelten und 
aktuellen Scorewerten besonders gut 
einschätzen. Letztlich sind die Score- 
werte das Datum mit der höchsten Ent- 
scheidungsrelevanz. Zwar enthalten die 
Artt. 13 Abs. 2 lit. f), 14 Abs. 2 lit. g) 
und 15 Abs. 1 lit. h) DSGVO auf die au- 
tomatisierte Entscheidungsfindung und 
das Profiling gerichtete Auskunftspflich- 
ten, die auch die Tragweite und die an- 
gestrebten Auswirkungen dieser Verar- 
beitung auf den Betroffenen umfassen. 
Diese sind jedoch nicht auf die kürzlich 
übermittelten und aktuellen Score-, bzw. 
Profilingwerte konkretisiert. Stattdessen 


ergibt sich aus Erwägungsgrund 64 DS- 
GVO, dass Daten nicht alleine zu dem 
Zweck der Auskunftserteilung gespei- 
chert werden sollen. Werden die über- 
mittelten Score-, bzw. Profilingwerte 
daher nicht gespeichert, ist zu befürch- 
ten, dass diese der betroffenen Person 
nicht mehr mitgeteilt werden. 

Zur Konkretisierung der Auskunfts- 
pflichten sollte daher in einem nationa- 
len Gesetz klargestellt werden, dass die 
Übermittlung der Score- bzw. Profiling- 
werte zur Darlegung der Auswirkungen 
des Profilings auf die betroffene Person 
erforderlich ist. 


4. Datenschutz- 
Folgenabschätzung 


Mit der Durchführung einer Daten- 
schutz-Folgenabschätzung (Art. 35) 
bei ggf. auch vorheriger Konsultation 
(Art. 36) soll ein hohes Risiko für die 
Rechte und Freiheiten der betroffenen 
Personen ausgeschlossen werden. 

Notwendig ist eine fachliche Diskus- 
sion, was eine geforderten Datenschutz- 
Folgenabschätzung (Art. 35) und eine 
bisherige Vorabkontrolle gemäß $ 4d 
Abs. 5 BDSG unterscheidet. Denn die 
bisherige Vorabkontrolle ist an die Ver- 
wendung der Art besonderer Daten ge- 
koppelt ($ 3 BDSG Abs. 9). Eine Klassi- 
fizierung besonderer Daten in Art. 9 DS- 
GVO gibt es, die aber keine Erwähnung 
in Art. 35 findet. 

Innerhalb der Datenschutz-Folgen- 
abschätzung ist in Absprache zwischen 
Verantwortlichen und Aufsichtsbehör- 
den ggf. zu klären, welche Maßnahmen 
zu ergreifen sind um datenschutzkonfor- 
me Verfahren mit der entsprechenden 
IT bereitzustellen. In den Erwägungs- 
gründen ist durch diverse Beispiele 
konkretisiert, für welche Anwendungen 
eine  Datenschutz-Folgenabschätzung 
erforderlich ist, wie optoelektronische 
Vorrichtungen (Erwägungsgrund 91). 
Gleichzeitig fällt nur in Erwägungs- 
grund 91 zur Realisierung von Maßnah- 
men der gängige Begriff „nach Stand 
der Technik“. Stattdessen sind Maßnah- 
men gemäß Art. 35 zu ergreifen, wenn 
für die betrachteten Verfahren neue 
Technologien eingesetzt werden. Damit 
bleibt in großen Teilen unberücksichtigt, 
dass mehrheitlich kleinere Änderungen 
in einer ingenieursmäßig betriebenen IT 


DANA » Datenschutz Nachrichten 2/2016 


schrittweise zu Verbesserungen führen, 
die irgendwann eine Veränderung eines 
Geschäftsbereichs bewirken können. 
Einige Kriterien zur Bewertung, ob zu 
ergreifende Maßnahmen geeignet sind, 
finden sich z.B. in Art. 32 „Sicherheit 
in der Verarbeitung“, aber es gibt keine 
Referenz in Art. 35 auf Art. 32. 

Der nationale Gesetzgeber ist aufge- 
fordert nutzbare Regelungen zu treffen, 
so dass zwischen anwendbaren Schutz- 
bedarfsklassen ein Bezug zum genann- 
ten hohen Risiko hergestellt werden 
kann, insbesondere weil der Begriff des 
hohen Risikos in der DSGVO nur un- 
zureichend festgelegt ist. Des Weiteren 
ist eine Transformation in bewährte Be- 
griffe von z.B. Zutritts-, Zugangs-, Zu- 
griffs- oder auch Dokumentationskont- 
rolle anzustoßen. Damit ist eine Lücke 
zwischen sehr konkreten, technischen 
Beschreibungen aus den Erwägungs- 
gründen und den abstrakten Prinzipien 
zu schließen, damit diejenigen, die ent- 
sprechende Realisierung in und mit der 
IT zu verantworten haben, weiterhin 
eine Anleitung erhalten, an der sie sich 
orientieren können. 


5. Betrieblicher Datenschutz- 
beauftragter 


Die Verankerung des betrieblichen 
Datenschutzbeauftragten (DSB) in der 
DSGVO gelang erst im letzten Moment. 


Douwe Korff* 


Die Benennung eines DSBs ist weiter- 
hin vorgesehen. Die Regelungen hierzu 
sind in Artt. 37, 38 und 39 zu finden. 
Art. 37 differenziert zwischen den Fäl- 
len, in denen auf jeden Fall ein DSB 
zu benennen ist und denen, in denen es 
dem europäischen und den nationalen 
Gesetzgebern überlassen bleibt, Rege- 
lungen zu treffen. Nach Art. 37 Abs. 4 
können ein Verantwortlicher oder der 
Auftragsverarbeiter oder Verbände und 
andere Vereinigungen, die Kategorien 
von Verantwortlichen oder Auftragsver- 
arbeitern vertreten, einen Datenschutz- 
beauftragten benennen, es sei denn ein 
Mitgliedsstaat schreibt die Benennung 
ausdrücklich vor. Diese Öffnungsklau- 
sel sollte der nationale Gesetzgeber in 
jedem Fall nutzen. 

Der DSB darf wegen der Erfüllung 
seiner Aufgaben nicht abberufen oder 
benachteiligt werden (Art. 38 Abs. 3). 
Dieser Abberufungsschutz bleibt hin- 
ter den detaillierteren Regelungen im 
BDSG zurück, das ausdrücklich die 
Gründe für eine außerordentliche Kün- 
digung fordert. Hier sollte geprüft wer- 
den, ob der Gesetzgeber klärend tätig 
werden kann. 


6. Geldbußen und effektive 
Sanktionen 


Die DSGVO stärkt die Befugnisse 
der Aufsichtsbehörden. In den Artt. 83 


Abs. 7, 84 Abs. 1 und Erwägungsgrün- 
den 150 sowie 152 öffnet die DSGVO 
dem nationalen Gesetzgeber Raum für 
den Erlass von Vorschriften. Der Bund 
und die Länder können in ihrem Zu- 
ständigkeitsbereich festlegen, ob und in 
welchem Umfang gegen Behörden und 
öffentliche Stellen, die in dem betreffen- 
den Mitgliedstaat niedergelassen sind, 
Geldbußen verhängt werden können. 

Es obliegt auch den Mitgliedstaaten, 
Vorschriften über andere Sanktionen für 
Verstöße gegen die DSGVO festzulegen 
und alle zur Anwendung erforderlichen 
Maßnahmen zu treffen. Die DSGVO 
gibt für diese Sanktionen in Erwägungs- 
grund 152 nur vor, dass sie wirksam, 


verhältnismäßig und abschreckend 
sein müssen. Die Anwendung des kar- 
tellrechtlichen Unternehmensbegriffs 


erfordert eine nationale Anpassung im 
Ordnungswidrigkeitenverfahren. 


7. Beschäftigtendatenschutz 


Spätestens mit der DSGVO ist der 
nationale Gesetzgeber gefordert, ein 
Beschäftigtendatenschutzgesetz zu 
verabschieden (Art. 88 1i.V.m. Erwä- 
gungsgrund 155). Mindestens sind $$ 3 
Abs. 11, 32 BDSG beizubehalten. 


Privacy seals in the new EU General Data 
Protection Regulation: Threat or facilitator? 


Part 2: What has it turned out to be? 


1. The issues 


In DANA 3/2015, I compared the 
proposals for the use of data protection 
seals in the different versions of the Ge- 
neral Data Protection Regulation then 
under discussion: the original Commis- 
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sion version, the version adopted by the 
European Parliament, and the Couneil 
version. I noticed that while the Com- 
mission text “encouraged” the establish- 
ment of data protection seal schemes, it 
added little detail, but that Parliament 
envisaged a significant role for such 


seals, allowing them to “demonstrate 
compliance” by the seal-holder with the 
requirements for processors (also if the 
seal-holder were to be a non-EU enti- 
ty) and similarly to “demonstrate” that 
“appropriate safeguards” were in place 
to allow the transfer of personal data 
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covered by a seal to take place without 
further checking by any data protection 
authority. Clearly, such seals would be 
very valuable, especially also in a trans- 
national context, and to non-EU control- 
lers and processors including “cloud” 
processors. 

I warned that such a scheme could 
only be acceptable if the seals were is- 
sued by data protection authorities and 
if the decision to award a seal would 
therefore be subject to the “cooperati- 
on-”, “mutual assistance-” and “con- 
sistency” mechanisms included in the 
Regulation. That way, the proposed is- 
suing of a seal by any one DPA could 
be challenged by any other DPA in the 
EU if the processing to be covered by 
the seal would affect data subjects in 
the other DPA’s Member State; and the 
seal would in such cases only be issued 
if there was agreement that that would 
be appropriate. Ifon the other hand seals 
could be issued by entities other than 
DPAs, to which the issuing of seals was 
“outsourced” — as was proposed in the 
version ofthe Regulation adopted by the 
Council — then the issuing of seals might 
not constitute a “measure” taken by a 
DPA, and might thus not be subject to 
the consistency mechanism. I wrote that 
ifthat road was followed, such “outsour- 
ced” seal schemes would pose a serious 
threat to the new EU data protection 
framework, effectively creating a massi- 
ve loophole through which data could be 
transferred to non-EU processors (inclu- 
ding “cloud” processors) and controllers 
in non-EU countries without adequate 
data protection, without the DPAs being 
able to intervene in an effective manner. 

These matters were among the many 
subject matters discussed in the “tri- 
logues” in which the final text of the 
Regulation was thrashed out between re- 
presentatives ofthe Commission, Parlia- 
ment and the Council. So what does the 
final, now adopted text say on these is- 
sues? As I shall show below, it amounts 
to a somewhat uneasy, ambiguous com- 
promise. 


2. Privacy seals can be issued 
by “outsourced” certification 
bodies 


The Regulation stipulates that in a 
number of respects a data protection 
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seal (“certification”) can be used as “an 
element by which to demonstrate” re- 
levant matters, i.e.: general compliance 
with the obligations imposed on a con- 
troller (Art. 24(3)); Privacy-by-Design 
and -Default (Art. 25(3)); the existence 
of “sufficient guarantees” for processors 
(Art. 28(5)); and compliance with data 
security requirements (Art. 32(3)). In all 
these cases, the phrase “an element by 
which to demonstrate” must presumab- 
ly be read as the creation of a rebuttable 
presumption: seals can be used as part 
of the evidence to show compliance in 
these regards — but they do not in and 
of themselves prove such compliance. 
In these respects, therefore, data protec- 
tion seals are useful, but not conclusive 
of compliance. 

However, in one context this is diffe- 
rent: in relation to transfers of personal 
data to third countries without adequa- 
te data protection. Such transfers are in 
principle prohibited, subject to a limited 
number of exceptions, including where 
“appropriate safeguards” are provided 
by the controller or processor (Art. 46). 
In the final text of the Regulation, this 
article stipulates that such appropriate 
safeguards “may be provided for” inter 
alia by 


an approved certification mechanism 
pursuant to Article 42 together with 
binding and enforceable commitments 
of the controller or processor in the 
third country to apply the appropriate 
safeguards, including as regards data 
subjects‘ rights (Art. 46(2)(H)) 


In other words, in this context the seals 
are conclusive: they provide, in and by 
themselves, the required safeguards. In- 
deed, the article adds that certifications 
can achieve this “without requiring 
any specific authorisation from a su- 
pervisory authority” (leading sentence 
to Article 46(2)). 

This threatens to create, in this most 
highly contentious area, the very danger 
I warned of in DANA 3/2015, because 
the final text also provides for the pos- 
sibility suggested by the Council of data 
protection seals (“certifications””) being 
issued either by a data protection autho- 
rity or by a separate “certification body” 
(Art. 42(5)). In other words, Member 
States may decide to “outsource” the 


issuing of the seals, as proposed by the 
Council. 

In that latter case, the certification 
body must be accredited either by the 
relevant DPA or by a national accredi- 
tation body (or by both) (Art. 43(1)), on 
the basis of criteria approved by the re- 
levant DPA (Art. 42(5)). Moreover, the 
approving of the criteria to be applied in 
accrediting an “outsourced” certification 
body is subject to the obtaining of an opi- 
nion from the new European Data Pro- 
tection Board (Art. 64(1)(c)), and thus to 
the consistency mechanism: DPAs must 
inform the other DPAs of the proposed 
criteria; they can then exchange views 
on them and challenge them; and if no 
agreement can be reached, the matter 
can be referred to the new European 
Data Protection Board, which will have 
the final say (Article 63ff.). Indeed, the 
Board can in this way adopt certification 
criteria at the European level which can 
then (also) become the basis for cen- 
trally issued European Data Protection 
Seals (Art. 42(5)). 

But until this is done, it would appear 
that such “outsourced” seals can in and 
by themselves constitute the basis for 
data transfers to third countries without 
data protection. They can in effect be an 
alternative to the Safe Harbor, or its con- 
tentious proposed successor, the “EU- 
US Privacy Shield”, and to the use of 
standard or ad hoc data transfer contract 
clauses. In my opinion, this should mean 
that they should be subject to broad ove- 
rall EU-Ievel control. 


3. Can seals be challenged? 


Ifany processing to be covered by a seal 
relates only to the activities ofa controller 
established in one Member States and if it 
does not substantially affect (and is unli- 
kely to substantially affect) data subjects 
in any other Member State, the matter is 
almost entirely left to the DPA or certifi- 
cation body in question, without involve- 
ment of any other DPA (although if such 
seals were to be used to allow transfers of 
data originating from other Member States 
that would not be allowed directly from 
those other Member States, the DPAs of 
those other Member States would probab- 
ly be able to demand action from the DPA 
in the Member State where the seal was 
issued, even ifthis was “outsourced”). 
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However, if the processing to be co- 
vered by a seal involves: 


processing of personal data which 
takes place in the context of the acti- 
vities of establishments in more than 
one Member State of a controller or 
processor in the Union where the con- 
troller or processor is established in 
more than one Member State — 
or if it involves: 

processing of personal data which 
takes place in the context ofthe activi- 
ties ofa single establishment of a con- 
troller or processor in the Union but 
which substantially affects or is likely 
to substantially affect data subjects in 
more than one Member State — 


then the matter is regarded as “cross- 
border processing” (Art. 4(23(a) and 
(b)). In that case, any decisions or mea- 
sures relating to the processing, propo- 
sed or drafted by the relevant “lead su- 
pervisory authority”, are subject to the 
“cooperation-”, “mutual assistance-” 
and “consistency mechanisms” in the 
Regulation. 

If, in a particular Member State, the 
DPA (or DPAs) are charged with issuing 
data protection seals, then clearly the is- 
suing of such seals constitute the taking 
of “decisions” or “measures” by such 
DPAs. If a (proposed or draft) decision 
to issue a seal relates to such cross-bor- 
der processing, and such a seal-issuing 
DPA is the “lead supervisory authority” 
in respect of it, then (because this is a 
proposed or draft decision that relates to 
cross-border processing) that DPA must 
inform the DPAs in any other Mem- 
ber State affected by the processing 
(Art. 60(1)); may ask them to assist in 
the evaluation and certification process 
(Art. 60(2)); and must in any case: 


without delay, communicate the rele- 
vant information on the matter to the 
other supervisory authorities concer- 
ned [and] without delay submit a draft 
decision [here: on whether to award 
the seal] to the other supervisory au- 
thorities concerned for their opinion 
and take due account of their views. 
(Art. 60(3)) 
If any of those other authorities: 

within a period of four weeks after 
having been consulted in accordance 
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with paragraph 3 of this Article, ex- 
presses a relevant and reasoned ob- 
jection to the draft decision, the lead 
supervisory authority shall, if it does 
not follow the relevant and reasoned 
objection or is of the opinion it is not 
relevant and reasoned, submit the 
matter to the consistency mechanism 
... (Art. 60(4)) 


Under this mechanism, the European 
Data Protection Board must then adopt 
a binding decision on the matter (Art. 
65(1)(a)). In other words, in such cases 
the Board will have the final say on whe- 
ther the proposed seal can be issued or 
not. 

The issue is more complicated when 
seals are issued by “outsourced” certi- 
fication bodies, because the issuing of 
seals by such “outsourced” bodies does 
not, as such, constitute acts of the DPA 
in the Member State concerned. 

However, the compromise text could 
still offer some ways of referring the 
matter to the new Board. 

First of all, the final text of the Regu- 
lation contains a new power that must be 
granted to DPAs, not envisaged in any 
ofthe draft texts (and presumably aimed 
at countering the very threat I noted in 
DANA 3/2015 of “outsourced” seals 
opening up loopholes in protection). 
Article 58(2)(h) stipulates that all DPAs 
must be granted the power: 


to withdraw a certification or to order 
the certification body to withdraw a 
certification issued pursuant to Artic- 
les 42 and 43, or to order the certifi- 
cation body not to issue certification if 
the requirements for the certification 
are not or are no longer met. 


Although it is oddly not spelled out in 
the Regulation, it is implicit in the abo- 
ve, and in the duty of the EDPB to col- 
late all seals issued (Article 43(6)), that 
“outsourced” certification bodies should 
at least inform their national DPA of any 
seals they issue (or intend to issue), and 
that those DPAs must then inform all 
other DPAs and the EDPB of them. 

One could argue that a decision by a 
DPA to not use this power should be re- 
garded as a decision subject to the “co- 
operation-”, “mutual assistance-” and 
“consistency mechanisms” — especially 


if a DPA specifically informs the other 
DPAs and the Board of such unopposed- 
ly-issued seals. Such informing can, I 
believe, be seen as at least a tacit endor- 
sement of the reported seal. 

In any case, the duty to apply the “co- 
operation-”, “mutual assistance-” and 
“consistency mechanisms” are drafted 
in broad terms, not necessarily limited 
to cases of specific “decisions” or “mea- 
sures” or “complaints” and “investiga- 
tions” (although they clearly focus on 
those). Thus, Article 60, which estab- 
lishes the cooperation mechanism, can 
be read as applying to any matter invol- 
ving a lead supervisory authority and 
one or more other supervisory authori- 
ties concerned, i.e., to all cross-border 
processing issues (cf. the absence of 
any references to “decisions” in Article 
60(1) and the very general reference in 
Article 60(3) to “the matter” under con- 
sideration). Mutual assistance also has 
the aim, quite generally, “to implement 
and apply this Regulation in a consistent 
manner” (Art. 61(1)). The fact that this 
mechanism applies “in particular [to] 
information requests and supervisory 
measures” does not mean that it does 
not also extend to the use of the power 
in Article 58(2)(h). And the consistency 
mechanism, as its name already makes 
clear, is also quite broadly aimed at 
“contributling] to the consistent appli- 
cation of this Regulation throughout the 
Union” (Art. 63). 

Arguably, therefore, in countries in 
which the issuing of data protection 
seals is “outsourced”, the lead DPA 
must still inform other concerned DPAs 
of any seal that an “outsourced” certifi- 
cation body wants to issue or has issued 
(or better: of any seal application) rela- 
ting to cross-border processing, even if 
the lead DPA in question is not in direct 
charge of the seal issuing. That lead 
DPA must then also cooperate with the 
other concerned DPAs on the question 
of whether to exercise its power to pre- 
vent the issuing of the seal (or to order 
its withdrawal). And ifthe lead DPA re- 
fuses to do this, other DPAs should be 
able to challenge the seal — technically: 
the refusal of the lead DPA to use the- 
se powers in respect of the seal - in the 
EDPB, which must have the final say. 

However, given the ambiguities in 
the text ofthe Regulation, this view can 


79 


only be tentative. 
4. The solution 


Given that “outsourced” data protec- 
tion seals that are not subject to the “co- 
operation-”, “mutual assistance-” and 
“consistencey mechanisms” can pose 
grave risks to the fundamental rights of 
EU data subjects, it is important that the 
matters discussed above be clarified as a 
matter of urgency. 

The best option would, in my view, be 
to leave the final decision on whether to 
issue a seal in all cases to the relevant DPA 
(in both purely domestic and cross-border 
cases). That would not stand in the way of 
outsourcing much of the “frontline” work. 
The evaluation of the relevant product or 
service could still be done by approved in- 
dependent experts; and bodies such as the 
certification bodies mentioned could still 
be tasked with the checking of those eva- 


Peter Schaar 


luations and the preparation of the seals. 
However, those would only be provisional 
seals: in order to come into effect, they 
would need to be endorsed by the rele- 
vant DPA — and that endorsement would 
constitute an act (decision, measure) of 
that DPA and would thus be subject to the 
“cooperation-”, “mutual assistance-” and 
“consistency mechanisms”. 

Alternatively, if some countries are 
adamant that they want to fully and for- 
mally outsource the issuing of seals, they 
should still accept that if they inform 
their fellow-DPAs in the other Member 
States and the EDPB of any shortly-to- 
be-issued “outsourced” seal that rela- 
tes to a product or service that involves 
cross-border processing of personal data, 
this constitutes a decision by them not to 
prevent the issuing of the seal or to or- 
der the withdrawal of the seal; and that 
that (negative) decision is subject to the 


“cooperation-”, “mutual assistance-” and 


“consistency mechanisms”. This could 
be agreed, e.g., in the Article 29 Working 
Group pending the fully entering into 
force of the Regulation, or by the EDPB 
as soon as it is established. 

Without such clarification, the matter 
remains ambiguous and, in relation to 
data protection seals, problematic. 

In the somewhat longer term, the esta- 
blishment ofa European Data Protection 
Seal for products or services involving 
cross-border processing of personal 
data, operating under the aegis of the 
European Data Protection Board (rather 
than any individual DPA), would be the 
better option still. 


* Douwe Korff is Emeritus Professor of 
International Law at London Metropolitan 
University, Associate ofthe Oxford Martin 
School of the University of Oxford, and 
Fellow at the Centre for Internet and Human 
Rights of the European University of Viad- 
rina, Frankfurt/O. and Berlin. 


Europäischer Datenschutz: Ende gut, alles gut? 


Nachdem das Reformpaket die letzten 
Hürden genommen hat, müsste man eigent- 
lich erleichtert aufatmen. Die Datenschutz- 
Grundverordnung hat den Trilog von Rat, 
Kommission und Parlament überraschend 
gut überstanden. Auch die überzeugenden 
Voten im Europäischen Parlament und im 
Rat waren ein deutliches Signal für die Hand- 
lungsfähigkeit Europas beim Datenschutz 
— eine Handlungsfähigkeit, die man derzeit 
in anderen Bereichen, etwa der Flüchtlings- 
und Finanzpolitik, schmerzlich vermisst. 

Wesentliche Elemente der von der Kom- 
mission angestoßenen Reform, die während 
des mehr als vierjährigen Verhandlungs- 
marathons immer wieder in Frage gestellt 
worden waren, blieben erhalten oder wurden 
sogar gegenüber dem Entwurfstext stärker 
akzentuiert. Dies gilt etwa für die Ausdeh- 
nung des Anwendungsbereichs auf Anbie- 
ter elektronischer Dienste mit Sitz in einem 
Drittland („Marktortprinzip“, Art. 3 Abs. 3 
DS-GVO) oder die sehr deutliche Verschär- 
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fung der Sanktionen bei Datenschutzverstö- 
Ben (Art. 83). Auch die Forderungen nach 
einer radikalen Aufweichung der Zweckbin- 
dung personenbezogener Daten blieben im 
Ergebnis erfolglos ebenso wie der Versuch, 
den Anwendungsbereich der europäischen 
Vorschriften drastisch einzuschränken. 

Die Europäische Union hat also die (recht- 
lichen) Herausforderungen an das Daten- 
schutzrecht angenommen und Konflikte 
Die EU-weite 
Harmonisierung des Datenschutzrechts er- 


zunächst durchgestanden. 


folgt auf verhältnismäßig hohem Level und 
schreibt nicht bloß einen kleinsten gemein- 
samen Nenner fest. 

Durchaus ambivalent ist es hingegen, dass 
der Verordnungstext den Mitgliedstaaten er- 
hebliche Gestaltungsmöglichkeiten belässt. 
Dies eröffnet den nationalen Gesetzgebern 
zum einen die Chance, in bestimmten Berei- 
chen über die in der Verordnung europaweit 
festgeschriebenen Mindeststandards hinaus- 
zugehen bzw. diese zu konkretisieren. Dies ist 


der Fall etwa beim Schutz von Gesundheits- 
daten (Art. 9 Abs. 4 lit. a), beim Beschäftig- 
tendatenschutz (Art. 88) und dies gilt auch für 
die Regelungen zur obligatorischen Benen- 
nung betrieblicher Datenschutzbeauftragter 
(Art. 37). Andererseits ist zu befürchten, dass 
die nationalstaatlichen Regelungsspielräu- 
me auch dazu herhalten müssen, bestehende 
Datenschutz-Schwachstellen beizubehalten 
— etwa das deutsche Meldegesetz, das eine 
generelle Meldepflicht mit sehr freizügigen 
Übermittlungsmöglichkeiten ohne angemes- 
sene Zweckbindung kombiniert. Auch in 
anderen Mitgliedstaaten gibt es solche frag- 
würdigen Bestimmungen, die so eine zweite 
Chance bekommen haben. 

Die Konferenz der Datenschutzbeauftragte 
des Bundes und der Länder hat jüngst gefor- 
dert, die von der Datenschutz-Grundverord- 
nung eingeräumten nationalen Spielräume 
im Sinne eines möglichst hohen Datenschutz- 
niveaus zu nutzen. Wem an einem starken 
deutschen Datenschutz gelegen ist, der kann 
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diese Position nur unterstützen. Manche Äu- 
Berungen von Regierungsvertretern, etwa 
von Bundeswirtschaftsminister Gabriel und 
Bundesverkehrsminister Dobrint gegen die 
angeblich weltfremde und wirtschaftsfeindli- 
che Maxime der „Datensparsamkeit“ lassen 
aber befürchten, dass in dieser Frage noch ein 
hartes Ringen bevorsteht. 


Neues Zwei-Phasen-Modell? 


Das Bundesinnenministerium hat inzwi- 
schen angekündigt, die erforderlichen Ände- 
rungen des deutschen Rechts in einem Zwei- 
Phasen-Modell zu realisieren. In einem ersten 
Schritt sollen die unbedingt erforderlichen 
Gesetzesänderungen erfolgen; in einem zwei- 
ten Schritt sollen dann weitere Anpassungen 
stattfinden. Zu der ersten Phase soll die Aus- 
gestaltung der Befugnisse der Datenschutz- 
aufsichtsbehörden und die Einpassung ihrer 
Sanktionsbefugnisse ins deutsche Rechtssys- 
tem gehören (Artt. 51-59), auch im Hinblick 
auf den Rechtsschutz der Betroffenen und die 
gerichtliche Überprüfung der Aufsichtsmaß- 
nahmen. Unbedingt erforderlich ist es auch, 
die Zusammenarbeit der deutschen Daten- 
schutzbehörden und die Außenvertretung des 
deutschen Datenschutzes im neu einzurich- 
tenden Europäischen Datenschutzausschuss 
zu klären. Die Gesetzgebungskompetenz für 
derartige Zuständigkeitsfragen liegt jedoch 
nicht ausschließlich beim Bund. Vielmehr 
muss hier eine gemeinsame Rechtsvorschrift 
von Bund und Ländern erlassen werden, etwa 
in Form eines noch auszuhandelnden Staats- 
vertrags. Schließlich gehört noch die Ausge- 
staltung des Verhältnisses von Datenschutz 
einerseits und der Freiheit der Meinungsäu- 
Berung und Informationsfreiheit andererseits 
(Art. 85 DS-GVO) zum Pflichtprogramm. 

Das vom Bundesinnenministerium ange- 
kündigte Phasenmodell löst bei mir negative 
Assoziationen aus, erinnert es doch an die 
im Jahr 2000 ebenfalls in zwei Phasen ange- 
kündigte grundlegende Modernisierung des 
deutschen Datenschutzrechts: Nahezu sämt- 
liche angekündigten, etwas ambitionierten 
Änderungen blieben dabei auf der Strecke, 
denn die versprochene zweite Phase hat es 
nie gegeben. Auch damals saßen die Erfinder 
im Bundesinnenministerium. 


Kompetenzfragen als 
Machtfragen 


Bekanntlich gehören Kompetenzfragen zu 
den am schwierigsten zu lösenden Problemen. 
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Anders als die bisherige Artikel-29-Gruppe 
wird der Europäische Datenschutzausschuss 
(Artt. 60-67) im Falle eines Dissenses zwi- 
schen entscheiden. 
Dagegen bleibt es den Mitgliedstaaten über- 
lassen, die jeweiligen Zuständigkeiten und die 
Außenvertretung der Datenschutzbehörden 


abzugrenzen, wenn — wie in Deutschland — 


Datenschutzbehörden 


mehr als eine Datenschutzbehörde eingerich- 
tet wurde. 

Eine Weile hatte man den Eindruck, Da- 
tenschutz sei aus Sicht der Politik ein gest- 
riges Thema, von dem man sich am besten 
fern hält. Seit einiger Zeit hat sich der Wind 
aber gedreht: Niemand kann heute ernsthaft 
bestreiten, dass der Datenschutz eng mit der 
Digitalisierung der gesamten Gesellschaft 
verbunden ist und dass mit der datenschutz- 
rechtlichen Kompetenzverteilung auch darü- 
ber entschieden wird, wer die Weichen in die 
Informationsgesellschaft stellt. 

Das Bundesinnenministerium scheint da- 
von auszugehen, dass die allermeisten da- 
tenschutzrechtlichen Spezialgesetze zunächst 
nicht geändert werden müssen. Ich halte diese 
Position für risikoreich: Zwar ist es richtig, 
dass die Grundverordnung für bestimmte Fel- 
der, insbesondere im Bereich der staatlichen 
Datenverarbeitung, weiterhin Regelungs- 
spielräume enthält. Anderseits muss auch in 
diesen Bereichen die Einhaltung der europä- 
ischen Standards gewährleistet sein. Dies gilt 
zum Beispiel für das Sozialrecht: So sind im 
zehnten Buch des Sozialgesetzbuchs (SGB X) 
die derzeitigen Regelungen des Bundesdaten- 
schutzgesetzes praktisch gedoppelt - etwa im 
Hinblick auf die Anforderungen an die Auf- 
tragsdatenverarbeitung. Es ist kaum vorstell- 
bar, dass diese unverändert Bestand haben 
können, ohne bei den Rechtsanwendern zu 
unlösbaren Konflikten zu führen. Vergleich- 
bare Konstellationen gibt es auch in vielen 
anderen Bereichen. 


Betrieblichen Datenschutz und 
Beschäftigtendatenschutz nicht 
auf lange Bank schieben 


Besonders intensiv waren die Diskussi- 
onen vor der Verabschiedung der Daten- 
schutzgrundverordnung über die betriebli- 
chen Datenschutzbeauftragten und über den 
Beschäftigtendatenschutz. In beiden Berei- 
chen haben die Mitgliedsstaaten weiterhin 
Gestaltungsspielraum. 

Bei den betrieblichen Datenschutzbeauf- 
tragten hatte die Bundesregierung in letzter 
Sekunde im Trilog eine nationale Öffnungs- 


klausel (Art. 37 Abs. 4) durchgesetzt, die das 
derzeitige deutsche Modell großenteils be- 
wahren könnte — vorausgesetzt, eine entspre- 
chende deutsche Bestimmung wird rechtzeitig 
— vor dem Inkrafttreten der DS-GVO in zwei 
Jahren - beschlossen. Nimmt man die Absicht 
des Bundesinnenministeriums beim Wort, 
zunächst nur das „Unabweisbare‘“ gesetzlich 
neu zu regeln, dann würden die Regeln zum 
betrieblichen Datenschutzbeauftragten nicht 
dazu gehören. 

Beim Datenschutz im Beschäftigungs- 
verhältnis (Art. 88) stellt sich nicht nur die 
Frage nach einem deutschen Beschäftigten- 
Datenschutzgesetz. Auch die Zukunft der 
bisherigen Regelung des $ 32 BDSG zum 
Umgang mit Beschäftigtendaten steht zur 
Disposition. Schon sind aus der Wirtschaft 
Warnungen zu vernehmen, hier einen „deut- 
schen Sonderweg“ einzuschlagen. Es ist lei- 
der zu befürchten, dass derartige Meinungs- 
äußerungen in der Politik nicht ohne Wirkung 
bleiben werden. Angeblich soll es zwischen 
den Regierungsfraktionen der CDU/CSU und 
der SPD schon verabredet zu sein, in dieser 
Legislaturperiode auf ein Beschäftigtendaten- 
schutzgesetz zu verzichten - ein klarer Bruch 
der Zusagen aus dem Koalitionsvertrag. 


Datenschutz 


# 
Y 


elmmas Daeraunnse a Mu and mare erg 
nt 6 kam 1 mern Onsnderannung tee dur Satan 
Euisten enger a tum ra Be u nen 
Dun 6 Zumnienrg) venimd 8 MaTun rue e Mmätngennng e 


https://www.datenschutzverein.de/ 
1 7oklefelaic=1n1t481e) [02216 277104 Ko)10127} 
DANA_3-2015_RoteLinien_ 
Web.pdf 


8 


vzbv - Florian Glatzner 


Datenschutz in Europa: Die roten Linien des vzbv 
zur europäischen Datenschutz-Grundverordnung — 


revisited 


Nach mehr als vier Jahren Verhand- 
lungen ist die Datenschutz-Grundver- 
ordnung der Europäischen Union end- 
lich beschlossen. Insgesamt ist der fi- 
nale Gesetzestext aus Verbrauchersicht 
besser ausgefallen, als man es während 
der Verhandlungen befürchten musste. 
Trotz Lobbyarbeit bisher unbekannten 
Ausmaßes von europäischen und US- 
amerikanischen Wirtschaftsverbänden 
wurden die Vorschläge der EU-Kom- 
mission und des Europäischen Parla- 
ments nicht völlig verwässert. Den- 
noch enthält die Verordnung auch viele 
schwache Regelungen, die teilweise zu 
einer Absenkung des bisherigen Daten- 
schutzniveaus führen könnten, wenn 
die Mitgliedsstaaten dies nicht über die 
Ausgestaltung ihrer Spielräume verhin- 
dern. 

Im Sommer 2015 hatte der Verbrau- 
cherzentrale Bundesverband (vzbv) unter 
anderem in der DANA 3/2015 rote Lini- 
en definiert, hinter die die Datenschutz- 
Grundverordnung nicht zurückfallen dür- 
fe. Dies betraf besonders die umstrittenen 
Punkte der „Datensparsamkeit“, des 
„berechtigten Interesses der datenver- 
arbeitenden Stelle“, der „Änderung des 
Verarbeitungszwecks“ sowie der „Profil- 
bildung“. Auf was hat man sich in diesen 
Bereichen nun geeinigt? 


1. Datensparsamkeit 


Eine Datenverarbeitung darf nur in 
dem Umfang erfolgen, der notwendig 
ist, um den angestrebten Zweck zu er- 
füllen. Insbesondere soll der Zeitraum 
der Datenspeicherung minimiert wer- 
den, beispielsweise durch Lösch- und 
Anonymisierungsfristen oder regelmä- 
Bige Überprüfungen, ob die Daten noch 
notwendig sind. 

Hier konnte sich der Rat der Europäi- 
schen Union nicht mit seiner Forderung 
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durchsetzen, nach der eine Datenverar- 
beitung lediglich „nicht exzessiv“ erfol- 
gen sollte, was zu einer deutlichen Ab- 
senkung des Datenschutzes geführt hät- 
te. Dementsprechend begrüßt der vzbv 
die nun verabschiedete Regelung. 


2. „Berechtigtes Interesse“ der 
datenverarbeitenden Stelle 


Das berechtigte Interesse eines Un- 
ternehmens oder eines Dritten kann 
Rechtsgrundlage für eine Verarbeitung 
von personenbezogenen Daten sein, so- 
fern Interessen des Verbrauchers nicht 
überwiegen und seine vernünftigen Er- 
wartungen, die auf seinem Verhältnis 
zum Unternehmen beruhen, erfüllt wer- 
den. Dies kann zum Beispiel der Fall 
sein, wenn die betroffene Person ein 
Kunde des Unternehmens ist. 

Als kritisch wertet der vzbv hier, dass 
„Direktmarketing“ unter Umständen 
ein berechtigtes Interesse sein kann, für 
das somit keine Einwilligung notwen- 
dig wäre. Stammen Daten — auch sen- 
sible persönliche Daten - aus Öffentlich 
zugänglichen Quellen, so dürfen diese 
auch auf Grundlage des berechtigten In- 
teresses verarbeitet werden. 

Insgesamt ist diese Vorschrift noch aus- 
legungsbedürftig, besonders hinsichtlich 
des neuen Konstrukts der „vernünftigen 
Erwartungen des Verbrauchers“ — was zu 
Missbrauch führen könnte. 

Positiv hervorzuheben ist, dass der 
Verbraucher bei der Verarbeitung seiner 
Daten auf Grundlage eines berechtigten 
Interesses ein Widerspruchsrecht hat — 
das gilt auch, falls auf Grundlage eines 
berechtigten Interesses zur Profilbildung 
kommt. Legt der Verbraucher Wider- 
spruch ein, muss das Unternehmen dar- 
legen, warum sein Interesse gegenüber 
dem des Verbrauchers überwiegt. 


3. Änderung des Verarbeitungs- 
zwecks 


Die Änderung des Verarbeitungs- 
zwecks ist nur erlaubt, wenn der ur- 
sprüngliche Zweck mit dem neuen be- 
ziehungsweise veränderten Zweck kom- 
patibel ist. Die Kriterien, die für diese 
Prüfung herangezogen werden müssen, 
sind die Verbindung zwischen den Ver- 
arbeitungszwecken, der Zusammenhang 
der Datenerhebung (insbesondere das 
Verhältnis zwischen dem Unternehmen 
und dem Verbraucher), die Art der Daten 
(sind es sensible Daten?), die Folgen für 
den Verbraucher sowie Sicherheitsmaß- 
nahmen (werden die Daten pseudony- 
misiert oder verschlüsselt?). 

Eine Zweckänderung soll aber auch zu 
unvereinbaren Zwecken möglich sein, 
wenn der Verbraucher einwilligt. Eine 
Weiterverarbeitung soll ferner stets „für 
im öffentlichen Interesse liegende Ar- 
chivzwecke, für wissenschaftliche oder 
historische Forschungszwecke oder für 
statistische Zwecke“ erlaubt sein. 

Problematisch aus Sicht des vzbv ist, 
dass die Kriterien für die Zweckände- 
rung recht unbestimmt sind und erst 
noch in der Praxis ihre Wirksamkeit be- 
weisen müssen. Außerdem könnte sich 
insbesondere der letzte Punkt zu einem 
Einfallstor für unlautere Praktiken ent- 
wickeln: Unter dem Deckmantel der 
Forschung und Statistik könnten zum 
Beispiel soziale Netzwerke möglicher- 
weise Experimente zur Beeinflussung 
der Stimmung ihrer Nutzer oder Such- 
maschinen statistische Analysen zu 
Werbezwecken durchführen. 

Insgesamt ist der Abschnitt zur 
Zweckänderung jedoch besser ausgefal- 
len, als die Position der Mitgliedstaaten 
es hatte erwarten lassen, da grundsätz- 
lich eine Zweckänderung nur bei einer 
Vereinbarkeit der Zwecke und nicht 
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auch bei inkompatiblen Zwecken mög- 
lich ist. 


4. Profilbildung 


Der Verbraucher hat das Recht, keiner 
automatisierten Einzelfallentscheidung 
(Profilbildung) zu unterliegen, die recht- 
liche Wirkung entfaltet oder ihn signifi- 
kant beeinträchtigt — es sei denn, es gibt 
eine gesetzliche Erlaubnis oder sie ist 
für die Erfüllung eines Vertrags notwen- 
dig oder der Verbraucher hat explizit 
eingewilligt. 

Die Bildung von Profilen als solche 
— und nicht nur die reine Entscheidung, 
die rechtliche Wirkung entfaltet oder 
Verbraucher signifikant beeinträchtigt 
— unterliegt keinem gesonderten Schutz 
und wird nur als eine „normale“ Daten- 
verarbeitung angesehen. 

Der Verbraucher hat zwar ein Recht 
auf menschliche Intervention, Erklärung 
und Anfechtung der Entscheidung — in 
der Praxis dürfte das aber nur eine un- 
tergeordnete Rolle spielen. 

Die Verordnung schreibt vor, dass 
Unternehmen geeignete mathematische 
oder statistische Methoden verwenden 
und Maßnahmen treffen sollen, um Feh- 
ler zu minimieren und Diskriminierung 
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aufgrund von Rasse, ethnischer Her- 
kunft, politischer Meinung, Religion 
oder Weltanschauung, Gewerkschafts- 
zugehörigkeit, genetischer Anlagen 
oder Gesundheitszustand sowie sexu- 
eller Orientierung zu verhindern. Diese 
Ergänzung findet sich allerdings nur in 
den Erwägungsgründen der Verordnung, 
was sie wiederum schwächt. 

Insgesamt befürchtet der vzbv an 
dieser Stelle eine Absenkung des Ver- 
braucherschutzes im Vergleich zum 
deutschen Status Quo. Bisher war etwa 
Kreditscoring alleine auf der Grundla- 
ge von Adressdaten nicht erlaubt — was 
sich nun ändern könnte. Auch wäre es 
künftig möglich, dass auch bestrittene 
Forderungen an Auskunfteien gemeldet 
werden. Dies könnte dazu führen, dass 
Verbraucher nur aus Angst vor den ne- 
gativen Auswirkungen eines schlechten 
Scorewertes gegenüber Forderungsge- 
bern einlenken und die Forderung ak- 
zeptieren. 

In der Vergangenheit hatte die Bun- 
desregierung stets betont, dass der be- 
stehende deutsche Datenschutzstandard 
durch die Datenschutz-Grundverord- 
nung nicht abgesenkt werden dürfe. Die 
Beispiele zeigen jedoch, dass das bishe- 
rige deutsche Daten- und Verbraucher- 
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schutzniveau im Bereich des (Kredit-) 
Scorings allein durch die Datenschutz- 
Grundverordnung nicht beibehalten 
wird. Sollte die Bundesregierung dem 
nicht noch in dieser Legislaturperiode 
entgegen wirken, würde dies erneut zu 
jahrelangen Rechtsunsicherheiten für 
Verbraucher und Unternehmen führen, 
die gerade erst im Jahr 2009 durch die 
Novelle des Bundesdatenschutzgesetz- 
tes ausgeräumt wurden. 

Daher sollte die Bundesregierung die 
Möglichkeiten der in der Verordnung 
vorgesehenen Öffnungsklauseln konse- 
quent ausschöpfen sowie alle weiteren 
rechtlichen Spielräume ausnutzen, um 
das deutsche Datenschutzniveau im Be- 
reich des (Kredit-)Scorings zu erhalten. 
Insbesondere sollte auch geprüft wer- 
den, ob bestimmte Regelungsinhalte 
des Bundesdatenschutzgesetzes, wie die 
Bestimmungen des $ 28b BDSG, in an- 
dere Gesetze mitaufgenommen werden 
können. Denkbar wären beispielswei- 
se Regelungen im Zivil-, Vertrags- und 
Versicherungsrecht sowie im Kreditwe- 
sengesetz, die festlegen, unter welchen 
Umständen Scorewerte verwendet wer- 
den dürfen, und die Vorgaben zur Siche- 
rung der Datenqualität machen. 
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Werner Hülsmann 


Gestaltungsspielräume für die Nationalstaaten und 
Planungen des Bundesministeriums des Inneren 


Regelungsräume - aber keine Öffnungsklausen 


Thomas Zerdick, stellv. Leiter des 
Referat C.3 Schutz personenbezoge- 
ner Daten der Generaldirektion Justiz 
und Verbraucher in der Europäische 
Kommission, stellte am 09. Juni 2016 
anlässlich einer Veranstaltung der Eu- 
ropäischen Akademie für Informati- 
onsfreiheit und Datenschutz (EAID) 
klar: „Es gibt keine ‚Öffnungsklau- 
seln‘, sondern ‚Konkretisierungsklau- 
seln‘, die ‚„Einräumung von Optionen‘, 
‚Ausnahmevorschriften‘ und ‚Rege- 
lungsaufträge‘ also ‚Regelungsräu- 
me‘“. Diese Regelungsräume können 
— und müssen zum Teil — von den 
Mitgliedstaaten genutzt werden. Das 
Inkrafttreten der Datenschutzgrund- 
verordnung am 25. Mai 2016 führte 
laut Zerdick dazu, dass die Mitglied- 
staaten keine rechtlichen Regelungen 
mehr erlassen dürfen, die gegen diese 
Verordnung verstoßen. 

Zu den Konkretisierungsklauseln 
gehört Art. 6 Abs. I Buchstaben c und e. 


Optionen werden den Mitgliedstaaten 
eingeräumt durch 

« EWG 27: Mitgliedstaaten können 
Regelungen zu Daten von Verstor- 
benen festlegen, wie es sie derzeit 
in Deutschland im Sozialgesetzbuch 
(SGB) gibt 

Art. 8 — Bedingungen für die Ein- 
willigung eines Kindes in Bezug 
auf Dienste der Informationsgesell- 
schaft: Mitgliedstaaten können die 
Altersgrenze bis auf 13 Jahre herun- 
terfahren 

Art. 37 Abs. 4: Mitgliedstaaten kön- 
nen Regelungen zur Verpflichtung zur 
Bestellung von betrieblichen Daten- 
schutzbeauftragten erlassen 

Art. 80 — Vertretung von betroffenen 
Personen: Mitgliedstaaten können 
Regelungen zum Klagerecht von Ver- 
einen bei Datenschutzverstößen erlas- 
sen oder beibehalten. Ein solches ist 
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in Deutschland inzwischen im Ver- 
bandsklagerecht eingefügt 

Art. 83: Ermöglicht es den Mitglied- 
staaten Bußgelder für Datenschutz- 
verstöße durch öffentliche Stellen 
festzulegen 

Art. 88: Beschäftigtendatenschutz: 
Die Mitgliedstaaten können spezi- 
elle, konkretisierende Regelungen 
erlassen, diese dürfen aber nicht 
gegen die DSGVO verstoßen, auch 
Betriebsvereinbarungen und Tarif- 
verträge mit Regelungen zum Be- 
schäftigtendatenschutz sind weiter- 
hin möglich 


Zu den Bereichen, in denen Ausnahme- 

regelungen möglich sind, gehören: 

° Art. 21: Widerspruchsrecht 

° Art. 89: Garantien und Ausnahmen in 
Bezug auf die Verarbeitung zu im 
öffentlichen Interesse liegenden Ar- 
chivzwecken, zu wissenschaftlichen 
oder historischen Forschungszwecken 
und zu statistischen Zwecken, Absätze 
2 und 3 ermöglichen es Mitgliedstaaten, 
Regelungen für den Bereich der wissen- 
schaftlichen und historischen Forschung 
sowie zu Archivzwecken zu schaffen 


Regelungsaufträge an die Mitglied- 
staaten sind 

° Kapitel VI: Die Mitgliedstaaten müs- 
sen konkrete Regelungen zu den Da- 
tenschutzaufsichtsbehörden festlegen 
Art. 84: Sanktionen: Die Mitgliedstaa- 
ten sollen festlegen, ob und wenn ja, 
für welche Datenschutzverstöße z.B. 
Straftatbestände geschaffen werden 
Art. 85 Verarbeitung und Freiheit der 
Meinungsäußerung und Informations- 
freiheit: Hier sollen Mitgliedstaaten 
Regelungen schaffen, die „das Recht 
auf den Schutz personenbezogener Da- 
ten gemäß dieser Verordnung mit dem 
Recht auf freie Meinungsäußerung und 
Informationsfreiheit, einschließlich der 


Verarbeitung zu journalistischen Zwe- 
cken und zu wissenschaftlichen, künst- 
lerischen oder literarischen Zwecken, 
in Einklang“ bringen 


Fahrplan der EU-Kommission 


In den nächsten zwei Jahren will 
sich die EU-Kommission laut Zerdick 
informieren, Kontakte zu Verbänden 
aufnehmen sowie die Umsetzung der 
EU-Datenschutzrichtlinie für Polizei 
und Justiz begleiten. Am 28./29. Juli 
2016 findet eine gemeinsame Veran- 
staltung mit der Art. 29 Gruppe zur 
Auslegung und Umsetzung der DS- 
GVO statt. Darüber hinaus ist auch 
eine Anpassung von EU-Recht an 
die DSGVO erforderlich. So soll u.a. 
die E-Privacy-Richtlinie überarbeitet 
werden. Eine Überarbeitung der EU- 
Richtlinie zum elektronischen Ge- 
schäftsverkehr sei nicht erforderlich, 
da die DSGVO vollumfänglich im 
elektronischen Geschäftsverkehr gilt 
und diese Richtlinie daher zum 25. 
Mai 2018 überflüssig werde. 

Auf Nachfrage erläuterte Zerdick, dass 
die EU-Kommission die Durchführungs- 
und delegierten Rechtsakte als Mög- 
lichkeit für die Kommission aber nicht 
als Verpflichtung ansehe und daher erst 
einmal abwarten werde, was die Daten- 
schutzaufsichtsbehörden und der EU-Da- 
tenschutzausschuss an Vorgaben erarbeite. 

Nach Ansicht von Zerdick seien Loka- 
liserungsvorschriften, wie sie beispiels- 
weise z.Zt. im SGB bestehen, mit dem 
Wirksamwerden der EU-Richtlinie nicht 
mehr zulässig. Diese Auffassung wurde 
allerdings von anwesenden ehemaligen 
Bundes- und Landesdatenschutzbeauf- 
tragten kritisch gesehen, da dann eine 
Beschränkung der Verarbeitung der sehr 
sensiblen Sozialdaten auf Dienstleis- 
ter mit Sitz in Deutschland nicht mehr 
möglich wäre. 
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Planungen des Bundesmiiniste- 
riums des Inneren 


Das Bundesministerium des Inneren 
plant die Umsetzung der Regelungsräu- 
me in zwei Paketen. Das eine Paket mit 
den Regelungen, die zum einen nach der 
DSGVO erforderlich sind und zum an- 
deren wünschenswert und politisch ein- 
fach umsetzbar sind, soll noch bis zum 
Frühjahr 2017, also vor dem Bundes- 
tagswahlkampf im nächsten Jahr, ver- 
abschiedet werden. Der Zeitplan ist eng, 
da auch die Bundesländer — insbesonde- 
re wegen den zu treffenden Regelungen 
zu den Datenschutzaufsichtsbehörden 
— beteiligt werden müssen. Ein erster 
Referentenentwurf soll vorliegen, die 
Ressortabstimmung bereits begonnen 
haben. Bei Redaktionsschluss lag der 
Entwurf allerdings noch nicht öffentlich 
vor. Das zweite Paket ist erst für die Zeit 
nach der Bundestagswahl vorgesehen. 
Ob - und wenn ja, wann — es kommt ist 
daher derzeit noch nicht vorhersehbar. 


Paket 1 

Jörg Eickelpasch, Referat V II 4 — Da- 
tenschutzrecht beim Bundesministerium 
des Innern (BMI) führte bei der EAID- 
Veranstaltung die Pläne der Bundes- 
regierung, insbesondere die des BMI, 
aus. Geplant ist ein Artikelgesetz (als 
Arbeitstitel hierfür wurde schon mal 
„BDSG-Ablösegesetz“ genannt). Darin 
soll ein Artikel das derzeitige Bundesda- 
tenschutzgesetz zum 25. Mai 2018 auf- 
heben. Mit einem weiteren Artikel soll 
ein neues Datenschutzgesetz geschaffen 
werden, das sich von seiner Struktur her 
an der DSGVO orientieren wird. Das 
neue Datenschutzgesetz soll laut Eickel- 
pasch die folgenden Elemente enthalten. 
Kapitel 1 - Allgemeine Vorschriften 

Das BDSG gilt auch für Bereiche, 
für die die DSGVO nicht gilt, z.B. für 
Strafverfahren, daher bedarf es Rege- 
lungen zur Anwendbarkeit des neuen 
Gesetzes. Die Bestellpflicht von Da- 
tenschutzbeauftragten soll auch hier zu 
finden sein. Dabei sollen die bisherigen 
Regelungen aus dem $ 4f BDSG be- 
züglich der Verpflichtung zur Bestel- 
lung erhalten bleiben. Leider gibt es 
Stimmen aus dem Bundesministerium 
der Wirtschaft, die zumindest die An- 
zahl der Personen, ab der eine Bestel- 
lung eines Datenschutzbeauftragten 
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verpflichtend sein soll, deutlich erhöht 
sehen wollen. 
Kapitel 2 

Hier soll durch Nutzung von Art. 22 
Abs. 2 Buchstabe b die Regelung aus 
$ 6a BDSG erhalten bleiben, dass au- 
tomatisierte Einzelentscheidungen auch 
dann zulässig sein sollen, wenn sie Vor- 
teile für den Betroffenen bringen. 
Kapitel 3: Rechte der Betroffen 

Hier sollen nach Auffassung des BMI 
die Möglichkeiten des Art. 23 Beschrän- 
kungen genutzt werden. 
Kapitel 4: Aufsichtsbehörden 

Hier sind auf Bundesebene Regelun- 
gen zur Wahl und Rechtstellung des/ 
der Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit zu 
treffen. Weiterhin soll das Recht der 
Aufsichtsbehörden auf Klagebefugnis 
gegen Angemessenheitsbeschlüsse der 
EU-Kommission eingeführt werden. 
Kapitel 5: Zusammenarbeit und Ko- 
härenz 

Als zentrale Anlaufstelle soll die BfDI 
eingerichtet werden. Zur Vertretung im 
EU-Datenschutzausschuss stellt sich die 
Frage, wer dies überhaupt regeln darf. 
Es wird derzeit nach einer einvernehm- 
lichen Lösung zwischen Bund, Ländern 
und Datenschutzaufsichtsbehörden ge- 
sucht. Ebenfalls sind Regelungen zur 
federführenden Aufsichtsbehörde zu 
treffen. 
Kapitel 6: Besondere Datenverarbei- 
tungen 

Dieses Kapitel soll insbesondere ent- 
halten: 
« Auf Basis von Art. 85 Regelung zur 
Deutschen Welle 
Regelungen zum Beschäftigtendaten- 
schutz, gedacht ist an eine Übernahme 
von $ 32 BDSG (vgl. Art. 88) 
Datenverarbeitung zu  privilegier- 
ten Zwecken (wissenschaftliche 
Forschung, Statistik, Archive, vgl. 
Art. 89) 
Regelungen zur Datenverarbeitung 
von Auskunftdateien. Dabei soll ver- 
sucht werden die Regelungen des bis- 
herigen $ 28a BDSG zu erhalten. Dies 
wird von der Wirtschaft, den Verbrau- 
cherschutzverbänden und der Mehr- 
heit der Datenschutzaufsichtsbehör- 
den gewünscht. Falls dies nicht mög- 
lich sein sollte, wäre hier die DSGVO 
anzuwenden, das würde allerdings zu 
Rechtsunsicherheit führen. Derzeit 


werden drei Ideen zum Erhalt der Re- 
gelungen des $ 28a BDSG erörtert: 
a) Nutzung von Art. 6 Abs. 4 i.V.m. 
Art. 23 Abs. 1, b) es handelt sich hier- 
bei gar nicht um Datenschutzrecht, 
sondern um Gewerberecht oder c) 
„öffentliches Interesse“. Eine kon- 
krete Begründung, warum dieser Re- 
gelung im öffentlichen Interesse sei, 
konnte Herr Peickenpasch leider noch 
nicht angeben. 
Datenverarbeitung der Berufsgeheim- 
nisträger, hier argumentiert das BMI, 
dass ein uneingeschränktes Aus- 
kunftsrecht dazu führen könne, dass 
Berufsgeheimnisträger ihr Berufsge- 
heimnis gegenüber Mandaten verlet- 
zen müssten. Auch das Recht der Da- 
tenschutzaufsichtsbehörden, jederzeit 
in alles Einsicht zu nehmen, müsse bei 
Berufsgeheimnisträgern aus diesem 
Grund eingeschränkt werden. Dies 
wird allerdings von Datenschutzver- 
bänden und Aufsichtsbehörden kri- 
tisch gesehen! 
Kapitel 7 Schadenersatz, Bußgeld- 
vorschriften und Strafvorschriften 

In diesem Kapitel sollen Regelungen 
zum Schadenersatz, konkretisierende 
Regelungen zu Bußgeldvorschriften, 
soweit diese nach der DSGVO zulässig 
sind, und zu Strafvorschriften, soweit 
solche erforderlich sind, enthalten sein. 


Paket 2 

Da das zweite Paket frühestens nach 
der 2017 stattfindenden Bundestagswahl 
kommen wird, gäbe es derzeit noch keine 
konkreten Pläne hierzu, sondern nur erste 
Gedanken. So sei grundsätzlich vorstell- 
bar, dass ein ausführlicheres Beschäftig- 
tendatenschutzgesetz in einem solchen 
zweiten Paket enthalten sein wird. 


Fazit 


Die bisherigen Überlegungen im Bun- 
desministerium des Inneren und Aussa- 
gen anderer Ressorts zeigen, dass es äu- 
Bert wichtig ist, das Gesetzgebungsver- 
fahren kritisch zu begleiten. Aus diesem 
Grund haben Digitalcourage und die 
Deutsche Vereinigung für Datenschutz 
ein Positionspapier zur Ausgestaltung 
der Europäischen Datenschutzgrundver- 
ordnung erstellt. Mit diesem treten sie 
insbesondere mit dem Bundesministeri- 
um für Inneres in den Dialog. 
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Digitalcourage & Deutsche Vereinigung für Datenschutz (DVD) 


Position zur Ausgestaltung der Europäischen 
Datenschutzgrundverordnung 


Einführung 


Ab 25. Mai 2018 wird mit dem Wirk- 
samwerden der am 25. Mai 2016 in Kraft 
getretenen Europäischen Datenschutz- 
Grundverordnung (DSGVO) das bisher 
geltende nationale Datenschutzrecht 
weitgehend unwirksam. Sie wird den 
Datenschutz für die Verarbeitung per- 
sönlicher Daten in allen Ländern der EU 
unmittelbar und weitgehend einheitlich 
regeln. Die Verordnung enthält zahlrei- 
che Konkretisierungsklauseln, die Mit- 
gliedsländer teilweise nutzen müssen, 
teilweise nutzen können, um ergänzende 
nationale Datenschutzgesetze zu verab- 
schieden. Unter diesen Klauseln können 
elementare Fragen des Datenschutzes 
beantwortet werden, zum Beispiel zum 
Beschäftigtendatenschutz, zur Verarbei- 
tung von Gesundheitsdaten, zur Daten- 
nutzung für Forschungszwecke, zum 
Kreditscoring, zur Beschränkung der 
Rechte von Betroffenen oder zur Bin- 
dung der Datenverarbeitung an bestimm- 
te Zwecke. 

Digitalcourage und DVD plädieren 
dafür, dass Deutschland bei der Ausge- 
staltung der Europäischen Datenschutz- 
Grundverordnung eine Vorbildrolle für 
den Schutz von persönlichen Daten ein- 
nimmt. Die Konkretisierungsklauseln 
müssen im Sinne der zentralen Grund- 
sätze der Datenschutzgrundverordnung 
in Artikel 5 genutzt werden. 

Die deutsche Konkretisierung, Ausge- 
staltung und Interpretation der Europä- 
ischen Datenschutz-Grundverordnung 
muss sich an den ersten beiden Artikeln 
des Grundgesetzes orientieren, aus denen 
das Allgemeine Persönlichkeitsrecht, das 
Recht auf Privatsphäre, das Recht auf in- 
formationelle Selbstbestimmung sowie 
das Recht auf Gewährleistung der Ver- 
traulichkeit und Integrität informations- 
technischer Systeme abgeleitet werden. 

Auf europäischer Ebene geben die 
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Artikel sieben und acht der EU-Grund- 
rechtecharta die Richtung für die Ausge- 
staltung der Europäischen Datenschutz- 
grundverordnung vor: das Recht auf 
Schutz personenbezogener Daten und 
das Recht auf Achtung des Privatlebens 
und der Kommunikation. 

Das bestehende deutsche Daten- 
schutzniveau darf nicht abgeschwächt 
werden. Digitalcourage und DVD for- 
dern deshalb Bundes- und Landesge- 
setzgeber auf, die nationalen Spielräume 
konkret wie folgt zu nutzen: 


Forderungen zur Nutzung der 
Konkretisierungsklauseln 


— Scoring, automatisierte Einzel- 
fallentscheidungen und Profilbil- 
dung: Artikel 22 der Grundverordnung 
schützt Betroffene vor automatisierten 
Einzelfallentscheidungen inklusive Sco- 
ring und Profiling, wenn diese Datenver- 
arbeitung rechtliche Wirkung entfaltet 
oder die Betroffenen durch die Verar- 
beitung ähnlich beeinträchtigt werden. 
Eine Handlungsoption ermöglicht den 
Mitgliedstaaten weitere Ausnahmen 
vom grundsätzlichen Verbot in Absatz 1 
zu regeln. Digitalcourage und DVD for- 
dern: Keine weiteren nationalen Ausnah- 
men für das Verbot von automatisierten 
Einzelfallentscheidungen sowie Erhalt 
des bestehenden deutschen Datenschutz- 
niveaus bei Auskunfteien und Scoring. 
(siehe Position des Verbraucherzentra- 
le Bundesverband e.V.; betrifft: $ 28a 
BDSG, $ 28b BDSG, $ 34 (Abs. 2-5 u. 
8) BDSG sowie $ 35 (Abs. 2) BDSG) 

— Betroffenenrechte: Kapitel III der 
Verordnung gibt Betroffenen unter ande- 
rem das Recht auf Löschung von Daten 
(Artikel 17), das Recht auf Auskunft (Ar- 
tikel 15) und das Recht auf Datenüber- 
tragbarkeit (Artikel 20). Nach Artikel 23 
der Verordnung können Mitgliedsländer 
diese Rechte unter bestimmten Bedin- 


gungen einschränken. Digitalcourage 
und DVD fordern: Keine Ausnahmen 
und Einschränkungen von Betroffenen- 
rechten über das bisher in Deutschland 
bestehende Maß hinaus. Die Grundver- 
ordnung verlangt bei Einschränkungen 
von Betroffenenrechten, etwa auf Grund 
der nationalen oder öffentlichen Sicher- 
heit oder auf Grund von Kontroll-, Über- 
wachungs- und Ordnungsfunktionen, die 
Achtung des Wesensgehaltes der Grund- 
rechte und Grundfreiheiten einer demo- 
kratischen Gesellschaft. 

— Pflicht zum Hinweisen auf Be- 
troffenenrechte: Betroffene können 
ihre Rechte nur dann nutzen, wenn sie 
davon Kenntnis haben. Weil sich die 
Komplexität von Datenverarbeitung von 
Betroffenen ohne deutliche, wiederholte 
und verständliche Hinweise durch Verar- 
beiter nicht mit hinreichender Sicherheit 
überschauen lässt, wie es das Bundesver- 
fassungsgericht verlangt, fordern Digi- 
talcourage und DVD die Hinweispflich- 
ten auf Betroffenenrechte zu erweitern. 
(Konkretisierungsklausel für Aufgaben 
im öffentlichen Interesse: Artikel 6 Ab- 
satz 2, Sätze 4 und 5) 

— Informationspflichten: Mitglied- 
staaten können nach Artikel 14 Absatz 5 
der Verordnung Ausnahmen von den In- 
formationspflichten regeln. Digitalcou- 
rage und DVD fordern, abgesehen von 
der Sondersituation bei Berufsgeheim- 
nisträgern, keine Ausnahmen von den 
Informationspflichten vorzusehen. 

— Datenschutz bei Berufsgeheim- 
nisträgern: Artikel 9 verbietet, unter 
weit formulierten Ausnahmen, die Ver- 
arbeitung von besonders sensiblen per- 
sonenbezogenen Daten. Darunter fallen 
„Daten, aus denen die rassische und eth- 
nische Herkunft, politische Meinungen, 
religiöse oder weltanschauliche Über- 
zeugungen oder die Gewerkschaftszu- 
gehörigkeit hervorgehen“, sowie ge- 
netische und biometrische Daten und 
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Gesundheitsdaten. Berufsgeheimnisträ- 
ger, wie etwa Ärtzt.innen oder Anwält. 
innen dürfen diese Daten verarbeiten. 
Nach Artikel 90 der Verordnung kann in 
nationaler Gesetzgebung das Recht auf 
Schutz der personenbezogenen Daten 
mit einer Pflicht zur Wahrung des Be- 
rufsgeheimnisses in Einklang gebracht 
werden. Der Datenschutz bei Berufsge- 
heimnisträgern muss auf bisherigem Ni- 
veau beibehalten und, wo nötig, ausge- 
baut werden. Dazu gehört insbesondere, 
dass IT-Dienstleister von Berufsgeheim- 
nisträgern sowie Forschende, die mit 
diesen sensitiven Daten wissenschaft- 
lich arbeiten, vom Privileg und von der 
Pflicht des Berufsgeheimnisses mit er- 
fasst werden. 

—  Beschäftigtendatenschutz: Die 
Grundverordnung (Artikel 88) stellt je- 
dem Mitgliedsland die Schaffung eines 
Beschäftigtendatenschutzgesetzes frei. 
Digitalcourage und DVD fordern drin- 
gend einen starken und umfangreichen 
Beschäftistendatenschutz, was ange- 
sichts der technischen Entwicklung im 
Arbeitsleben nur mit einem eigenstän- 
digen Beschäftigtendatenschutzgesetz 
möglich ist. Insbesondere müssen regu- 
liert werden: Überwachung am Arbeits- 
platz (Artikel 88 Absatz 2), die Einwilli- 
gung im Beschäftigtenkontext, Transpa- 
renz der Datenverarbeitung und wirksa- 
me Sanktionen der Rechtsdurchsetzung 
(Artikel 84). Für die Konkretisierung der 
Regelungen zum Beschäftigtendaten- 
schutz in Kollektivvereinbarungen be- 
darf es Verfahrensregelungen, die es Ar- 
beitgeber.innen und Arbeitnehmer.innen 
unter aufsichtsbehördlicher Kontrolle er- 
möglichen, die Datenverarbeitung rund 
um den Arbeitsplatz so überwachungs- 
frei wie möglich zu regeln. 

— Zweckänderung: Artikel 6 der 
Verordnung erlaubt Mitgliedsstaaten 
unter anderem, Anforderungen für die 
Verarbeitung von Daten im öffentlichen 
Interesse genauer zu regulieren. Digital- 
courage und DVD plädieren dafür, die 
Regulierungsmöglichkeiten in Artikel 6 
im Sinne einer Stärkung des Daten- 
schutzes, also restriktiv, wahrzuneh- 
men. Beispielsweise ist eine nationale 
Erweiterung von Weiterverarbeitungs- 
möglichkeiten von persönlichen Daten 
auszuschließen, etwa bei der Videoüber- 
wachung öffentlich zugänglicher Räume 
durch Private. * 
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— Verarbeitung von genetischen, 
biometrischen oder Gesundheits- 
daten: Artikel 9 der Verordnung gibt 
Mitgliedstaaten die Möglichkeit, die 
Verarbeitung solcher Daten weiter zu 
beschränken oder auch zu erweitern. Di- 
gitalcourage und DVD fordern, dass die 
Verarbeitung von genetischen, biome- 
trischen oder Gesundheitsdaten auf das 
unbedingt Notwendige beschränkt wird. 

— Stärkung der Befugnisse der Auf- 
sichtsbehörden: Der Europäische Ge- 
richtshof hat darauf hingewiesen, dass 
den Datenschutzaufsichtsbehörden ge- 
gen sie verpflichtende Normen Klagebe- 
fugnisse zustehen müssen; hierfür bedarf 
es einer Regelung ohne prozessuale Be- 
schränkungen. Die Aufsichtsbehörden 
müssen die Möglichkeit haben, effektive 
Sanktionen auch gegenüber Behörden zu 
verhängen. Dazu gehört auch, dass die- 
se, anders als bisher, so ausgestattet wer- 
den, dass sie ihre Aufgabe des digitalen 
Grundrechtsschutz effektiv wahrnehmen 
können. Die Höhe der Geldbußen gegen 
Behörden muss ein wirksames Mittel 
zum Schutz der Privatsphäre der Bürge- 
rinnen und Bürger sein.* 

— Betrieblichen Datenschutzbeauf- 
tragte: Die Verpflichtungen für Firmen 
in der Verordnung, eine oder einen Da- 
tenschutzbeauftragten zu bestellen, sind 
restriktiver als derzeit im Bundesdaten- 
schutzgesetz geregelt. Artikel 35 Absatz 4 
erlaubt Mitgliedsstaaten die Beibe- 
haltung der gegenwärtigen nationalen 
Regelungen. Digitalcourage und DVD 
fordern, dass die Verpflichtung zur Be- 
stellung betrieblicher Datenschutzbeauf- 
tragter nach $ 4f Abs. 1 des Bundesda- 
tenschutzgesetzes inhaltlich beibehalten 
wird. Ohne eine solche Regelung würde 
das deutsche Datenschutz-Niveau erheb- 
lich gesenkt werden. * 

— Regulierung von Beobachtungs- 
maßnahmen: Personenbezogene Da- 
ten, die durch Beobachtungen wie Vi- 
deoüberwachung, Smart Meter, Smart 
Home, RFID oder vernetzten Straßen- 
verkehr verarbeitet werden, sind durch 
die Europäische Datenschutzgrundver- 
ordnung nicht wie bisher im deutschen 
Datenschutzrecht geschützt. Teilweise 
erfassen diese Beobachtungen Daten, 
aus denen ohne Aufwand hochsensible 
Informationen, etwa über die Gesund- 
heit oder die politische Einstellung, ab- 
geleitet werden können. Darum müssen 


betroffene Personen besonders durch 
konkretisierende Festlegungen geschützt 
werden. Das umfasst: Regelungen zur 
Transparenz, Datenminimierung, Daten- 
sicherheit, Opt-in-Optionen, Ausschluss 
der Datenweitergabe etc. 

— Vermutungswirkung für Ko-Re- 
gulierungen: Ko-Regulierungen gemäß 
Artikel 38 wie Gütesiegel, Zertifikate 
oder Verhaltenskodizes können helfen, 
den Schutz von personenbezogenen und 
personenbeziehbaren Daten zu erhöhen. 
In Ko-Regulierungen können Prinzipien 
wie Privacy by Design und Privacy by 
Default, Souveränität über Geräte und 
deren Datenverarbeitung oder Privacy 
by Default branchenspezifisch und tech- 
nisch konkret im Handeln von Unterneh- 
men verankert werden. Besonders weil 
sich datenverarbeitende Technologien 
und Anwendung schneller entwickeln 
als Gesetzgeber Regulierungen schaffen 
können, sind Ko-Regulierungen wich- 
tige Instrumente für einen wirksamen 
Datenschutz. Voraussetzung dafür ist, 
dass eine wirksame behördliche Kont- 
rolle der Ko-Regulierungen stattfindet, 
dass größtmögliche Transparenz reali- 
siert wird und Betroffenen-Vertretungen 
bei Ausarbeitung und Anwendung der 
Ko-Regulierungen effektiv eingebunden 
werden. 

— Folgenabschätzung und Vorab- 
konsultation: Digitalcourage und DVD 
fordern eine gesetzliche Ausgestaltung 
der Folgenabschätzungen. Mitgliedstaa- 
ten können nach Artikel 35 Absatz 4 bei 
Datenverarbeitungen auf Basis von Ge- 
setzen der Mitgliedstaaten laut Artikel 6 
Absatz 1 gesetzlich regeln, dass eine 
Folgenabschätzung durchzuführen ist. 
Außerdem sollten bei der Verarbeitung 
zur Erfüllung einer im öffentlichen Inte- 
resse liegenden Aufgabe nach Artikel 36 
Absatz 5 Verarbeiter angehalten sein, mit 
der verantwortlichen Aufsichtsbehörde 
eine Vorabkonsultation durchzuführen 
und eine Genehmigung einzuholen. 


* Siehe Position der Konferenz der 
unabhängigen Datenschutzbehörden des 
Bundes und der Länder unter: 
http://www.bfdi.bund.de/SharedDocs/ 
Publikationen/Entschliessungssammlung/ 
DSBundLaender/91DSK_ 
EntschliessungDSStaerken.pdf?__ 
blob=publicationFile&v=5 
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B IQ B rotherAwa rds 20 1 6 Ein Rückblick von Frans Jozef Valenta 


Die Eröffnungsrede bei den Big- 
BrotherAwards in Bielefeld hielt Sa- 
bine Leutheusser-Schnarrenberger. Sie 
würdigte die Verdienste von Digitalcou- 
rage bei der Verteidigung des Rechts auf 
informationelle Selbstbestimmung und 
zum Schutz der Privatsphäre. „Angst 
darf nicht als Anlass dienen, die Ein- 
griffsbefugnisse zur massenhaften 
Überwachung der Bürger immer weiter 
auszudehnen“. Am Beispiel des in der 
EU gescheiterten Urheberrechtsabkom- 
mens ACTA machte sie deutlich, dass 
sich beharrlicher Protest lohnt. 


In der Kategorie Verbraucherschutz- 
hielt Padeluun die Laudatio wegen 
der Rabattgewährung bei der Über- 
mittlung von Fittness-Daten an den 
Versicherungskonzern Generali. Nach 
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Sönke Hilbrans | Peter Wedde 


dem Muster von Payback geraten die 
Versicherungskunden in ein Kunden- 
bindungs- und Gängelungssystem. Mit 
den Punkten der Generali Versicherung 
können Versicherte sich nicht günstiger 
versichern, denn für die Punkte bekom- 
men sie Rabatte in Läden, die sich dem 
Generali-Programm angeschlossen ha- 
ben - allerdings nur, wenn sie besonders 
gesunde Produkte kaufen. Und diese 
müssen sie ausschließlich in bestimm- 
ten — aber wenigen — Markengeschäf- 
ten erwerben. Die intimen Fitnessda- 
ten werden im Rahmen des „Vitality- 
Programms“ an ein südafrikanisches 
Finanzunternehmen übermittelt — ohne 
ein existierendes Datenschutzabkom- 
men zwischen den Transferländern. 


4 


Ayfdrea Neunzig 


=) 
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Die von Martin Haase und Kai Bier- 
mann verfasste Laudatio in der Katego- 
rie Neusprech mit dem Begriff „Daten- 
reichtum“ wurde von Andrea Neunzig 
vorgetragen. 


Die Laudatoren für Kampagnenplatt- 
form change.org in der Kategorie Wirt- 
schaft waren Peter Wedde und Sönke 
Hilbrans. change.org bekam den Big- 
BrotherAward, „weil sie die personen- 
bezogenen Daten der Menschen, die 
Petitionen unterzeichnet haben, in viel- 
fältiger und nicht transparenter Art und 
Weise für eigene Geschäftszwecke ver- 
wendet“. Der Organisation wird vorge- 
worfen, E-Mail-Handel zu betreiben und 
mit den gewonnenen sensiblen Daten 
Nutzerprofile zu erstellen, die geeignet 
wären, Meinungsbildungsprozesse ge- 
zielt zu beeinflussen. Abgesehen von der 
in Deutschland und Europa datenschutz- 
rechtlichen Unzulässigkeit der Verar- 
beitung und Nutzung dieser personen- 
bezogenen Daten wie insbesondere der 
Informationen zu politischen Meinun- 
gen, wird zur Datenübermittlung immer 
noch das vom Europäischen Gerichtshof 
verworfene Safe-Harbor-Abkommen zu- 
grunde gelegt. Der Geschäftsführer von 
change.org nahm die „Auszeichnung“ 
widerwillig entgegen, um die Gelegen- 
heit zu einer Stellungnahme zu erhalten. 


Gregor Ha 1 
Jeannette Gusk® 
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Rena Tangens 


Rena Tangens hielt die Laudatio in 
der Kategorie Technik anlässlich der 
datenschutzrechtlich verwerflichen 
Einführung der kontaktlosen Chip- 
karte „(((eTicket“ durch die Berliner 
Verkehrsbetriebe (BVG). Der Berliner 
Fahrgastverband IGEB fand heraus, 
dass mit Hilfe der kontaktlosen NFC- 
Technik Trackingdaten erhoben wur- 
den. Es wurde die Frage gestellt, wa- 
rum überhaupt Streckendaten erfasst 
werden müssen und erfolgreiche alter- 
native Beispiele mit kostenlosem Bus- 
und Bahnverkehr genannt. 


Leena Simon 


Leena Simon zählte eine Reihe von 
tadelnden Erwähnungen auf: das soge- 
nannte „Prostituiertenschutzgesetz“, die 
Google Impact Challenge, bei der der 
Konzern die Zivilgesellschaft als Da- 
tenquelle entdeckt hat, und das Cashless 
Festival, bei dem Festival-Besucher mit 
einem RFID-Armband zur Konsum- 
Kontrolle ausgestattet wurden. Eine lo- 
bende Erwähnung gab es für Jan Philipp 
Albrecht & Team für die Arbeit an der 
EU-Datenschutzgrundverordnung. 
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Frank Rosengart 


Die IBM Deutschland GmbH erhielt 
die Auszeichnung in der Kategorie Ar- 
beitswelt. Frank Rosengart erläuterte 
in seiner Laudatio die Auswertung von 
Daten aus dem firmeneigenen sozia- 
len Netzwerk mit der Software „Social 
Dashboard“. So könne ein Arbeitgeber 
neue Einblicke erhalten, wer welchen 
sozialen Status und Vernetzungsgrad 
unter seinen Kollegen hat. Alles wird 
zum Wettbewerb, zur „Challenge“. 


Rolf Gössner 


Der Inlandsgeheimdienst „Verfas- 
sungsschutz“ ist bisher erstaunlicher- 
weise in den 16 Jahren seit Bestehen des 
BigBrotherAward nie mit einem Preis 
bedacht worden. Für eine 65-jährige Ge- 
schichte war deshalb ein Lifetime-Award 
fällig. Rolf Gössner erinnerte in sei- 
ner Laudatio an „Skandale und Macht- 
missbrauch, Datenschutz- und Bürger- 
rechtsverletzungen — selbstverständlich 
immer im Namen von Sicherheit und 
Freiheit, Verfassung und Demokratie“. 


ndreas Liebold | Rena Tangens 


Rena Tangens nannte in einem Inter- 
view die Erfolge seit der Preisverlei- 
hung 2015. Dazu gehörte auch die Akti- 
vität auf dem Evangelischen Kirchentag 
(DANA 3/2015, S. 140) und der Start zu 
einer neuen Verfassungsklage gegen die 
Vorratsdatenspeicherung. 


Gössner erklärte weiter: „Hinter dem 
irreführenden Tarnnamen ‚Verfassungs- 
schutz‘ steckt ein ideologisch geprägter 
Regierungsgeheimdienst mit geheimen 
Mitteln und Methoden wie V-Leuten, 
verdeckten Ermittlern, Lockspitzeln, 
Lausch- und Spähangriffen und der 
Lizenz zur Infiltration, Täuschung und 
Desinformation — Mittel und Metho- 
den, die gemeinhin als ‚anrüchig‘ gelten 
und die sich rechtsstaatlicher Kontrolle 
weitgehend entziehen“. 
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Datenschutznachrichten aus Deutschland 


Bund 


Kartellamt ermittelt gegen 
Facebook 


Das Bundeskartellamt prüft seit dem 
02.03.2016, ob die Nutzungsbedingun- 
gen von Facebook rechtswidrig sind. 
Die Nutzenden von Facebook könnten 
nur schwer nachvollziehen, welchen 
Umfang ihre Einwilligung zur Erhe- 
bung und Nutzung ihrer Daten hat. Das 
soziale Netzwerk steht unter dem Ver- 
dacht, seine Marktmacht auszunutzen. 
Es bestünden „erhebliche Zweifel“ an 
der Zulässigkeit dieser Vorgehensweise 
— insbesondere nach deutschem Daten- 
schutzrecht. Im Zentrum der Nachfor- 
schungen stehen die komplizierten Nut- 
zungsbedingungen, mit denen die Nut- 
zenden umfassend akzeptieren müssen, 
dass Facebook umfangreich persönliche 
Daten erhebt und verwendet, ohne dass 
diese dies hinreichend nachvollziehen 
können. 

Weil es „Anhaltspunkte“ gäbe, dass 
Facebook auf dem Markt für sozia- 
le Netzwerke marktbeherrschend sei, 
könnte ein solcher Verstoß auch kar- 
tellrechtlich missbräuchlich sein. Face- 
books Daten ermöglichten, so Kartell- 
amtspräsident Andreas Mundt, durch 
die Bildung von Nutzungsprofilen 
Werbekunden ein zielgenaues Werben: 
„Marktbeherrschende Unternehmen 
unterliegen besonderen Pflichten“. Das 
Verfahren richtet sich gegen den Kon- 
zern Facebook in den USA, gegen die 
irische Tochter des Unternehmens sowie 
gegen Facebook Germany in Hamburg. 
Facebook ist das größte soziale Netz- 
werk der Welt. Weltweit nutzen es täg- 
lich mehr als eine Milliarde Menschen. 
1,6 Mrd. Menschen schauen mindestens 
einmal im Monat vorbei. In Deutsch- 
land sind etwa 28 Mio. Menschen Mit- 
glied, die meisten zwischen 18 und 44 
Jahren — eine für die Werbewirtschaft 
höchst attraktive Gruppe. Mundt: „Für 
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werbefinanzierte Internetdienste wie 
Facebook haben die Nutzerdaten eine 
herausragende Bedeutung.“ Bei Inter- 
netdiensten gebe es einen Trend zur Mo- 
nopolisierung. Doch tut sich seine Be- 
hörde schwer bei grenzüberschreitenden 
Unternehmen. Das Kartellamt könnte, 
sollte sich der Verdacht erhärten, eine 
Änderung der beanstandeten Klauseln 
verlangen. 

Facebook reagierte gelassen: „Wir 
sind überzeugt, dass wir das Recht be- 
folgen, und werden aktiv mit dem Bun- 
deskartellamt zusammenarbeiten, um 
dessen Fragen zu beantworten“. Diverse 
deutsche Datenschützer und Verbrau- 
cherorganisationen werfen Facebook 
schon seit einiger Zeit vor, zu viele 
Daten zu erheben und dies nicht trans- 
parent genug zu tun. Das Kartellamt be- 
treibt das Verfahren in engem Kontakt 
unter anderem mit Datenschutzbeauf- 
tragten, Verbraucherschutzverbänden 
und der EU-Kommission. Klaus Müller, 
Vorstand der Verbraucherzentrale Bun- 
desverband (vzbv), erklärte: „Verbrau- 
cher haben zu Facebook keine adäquate 
Alternative, ihre Nutzungsdaten können 
sie nicht ohne Weiteres auf andere Por- 
tale übertragen.“ Diese „Zwangslage“ 
sei ähnlich kritisch zu sehen wie „un- 
faire Monopolpreise in der analogen 
Welt“ (Bauchmüller/Martin-Jung, Kar- 
tellamt geht gegen Facebook vor, SZ 
03.03.2016, 1; Kartellamt ermittelt we- 
gen des Verdachts auf Marktmissbrauch, 
www.zeit.de 02.03.2016). 


Bund 


Flugtauglichkeitsprüfung 
unter Aufhebung des 
Patientengeheimnisses 


Nach Auffassung von Bundesver- 
kehrsminister Alexander Dobrindt 
(CSU) soll es in Zukunft schwerer wer- 
den für psychisch labile oder gesund- 


heitlich angeschlagene PilotInnen, sich 
dem Kontrollsystem der Flugaufsichts- 
behörden zu entziehen. Wegen der in 
Deutschland für VerkehrspilotInnen 
geltenden Regelungen, die im Hinblick 
auf ärztliche Schweigepflicht und Da- 
tenschutz europaweit als die strengsten 
gelten, liegen beim Luftfahrtbundesamt 
(LBA) die Gesundheitsakten der Pilo- 
tInnen nur in pseudonymisierter Form, 
also ohne namentliche Nennung, vor. 
Nur nach einem aufwändigen Verfah- 
ren könnten Untersuchungsergebnisse 
einem individuellen Piloten zugeordnet 
werden. Den Gesundheits-Check-up 
machen niedergelassene Fliegerärzte 
und melden dem LBA lediglich, dass der 
Flugzeugführer „fit to fly“ ist. 


- Der Germanwings-Absturz 


Dies mag dazu beigetragen haben, 
dass die Depression des German- 
wing-Piloten Andreas Lubitz, der am 
24.03.2015 149 Menschen mit in den 
Tod riss, den verantwortlichen Stellen 
unbekannt blieb (vgl. DANA 2/2015, 
82 ff.), obwohl er in den letzten Mona- 
ten seines Lebens von Mediziner zu Me- 
diziner lief, Psychopharmaka verschrie- 
ben bekam und sich in Psychotherapie 
begab. Weder bei der Airline noch beim 
Luftfahrtbundesamt (LBA) bekam man 
mit, wie sich sein psychischer Zustand 
verschlimmerte — bis er seinen Wunsch 
nach Selbstmord in einem kontrollierten 
Absturz in den französischen Alpen in 
die Realität umsetzte. 

Selbst wenn einer der von Lubitz 
aufgesuchten Mediziner, ob Fliegerarzt 
oder niedergelassener Arzt, sich Sorgen 
um dessen labile Psyche gemacht hät- 
te, so hätte er vom LBA nicht erfahren 
können, dass der 26-jährige Co-Pilot 
bereits während seiner Ausbildung an 
einer schweren suizidalen Erkrankung 
gelitten hatte. Diese Information hätte 
er sich, umständlich, von dem behan- 
delnden Fliegerarzt im flugmedizini- 
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schen Zentrum der Lufthansa besorgen 
müssen. Dabei wäre diese entscheidend 
gewesen für seine flugmedizinische Be- 
urteilung. Denn tritt eine Depression 
erneut auf, so bedeutet das in der Regel 
den Entzug der Lizenz. 

In einem umfangreichen Bericht der 
französischen Behörde für die Untersu- 
chung ziviler Flugunfälle (BEA) kommt 
diese zu dem Ergebnis: „Der Prozess 
der medizinischen Begutachtung des 
Copiloten war konform mit den Regeln, 
die zu der Zeit in Deutschland galten.“ 
In der Präsentation des Berichts dräng- 
te aber BEA-Direktor Remi Jouty dar- 
auf, diese Regeln in Deutschland und 
Europa zu ändern. Die BEA verlangt 
u. a., die ärztliche Schweigepflicht zu 
lockern und klarer und konkreter als 
bisher im Interesse der „öffentlichen 
Sicherheit“ Ausnahmen vorzusehen. Er 
erwähnte lobend, dass in Israel, Kana- 
da und Norwegen sogar eine Pflicht zur 
Information des Arbeitgebers besteht. 
Weiterhin empfiehlt der Bericht, Pilo- 
tInnen weitaus häufiger „psychologisch 
und psychiatrisch“ auf die Flugfähigkeit 
zu testen. Zudem befürwortet er, nach 
britischem Vorbild und unter ärztlicher 
Aufsicht PilotInnen unter dem Einfluss 
von Psychopharmaka fliegen zu lassen, 
weil sie ansonsten, wie Andreas Lubitz, 
ihre Krankheit verheimlichen könnten. 
Schließlich schlägt die BEA bessere 
Verdienstausfall-Versicherungen für 
flugunfähige PilotInnen im Interesse 
von deren finanzieller Absicherung vor. 

Allein 124 Seiten ist die Zusammen- 
fassung des BEA-Reports lang. Die 
gesamte Untersuchung ist mit Doku- 
menten 6000 Seiten stark. Darin wird 
nacherzählt, dass Andreas Lubitz ins- 
gesamt 41 Ärzte konsultiert hatte und 
dies schon August 2008, noch während 
seiner Ausbildung bei der Lufthansa. Im 
Dezember 2014 hatten „verschiedene 
Ärzte“ festgestellt, dass für die häufigen 
Seh- und Schlafstörungen ihres Patien- 
ten „kein organischer Grund“ vorlag. 
Am 17.02.2015 hatte Lubitz wegen 
seines psychischen Leidens zwei Ärzte 
aufgesucht. Ein privater Arzt schrieb ihn 
für acht Tage krank. Ein weiterer priva- 
ter Arzt stellte ihm ein Rezept für das 
Schlafmittel Zopiclon aus. Alles dies 
verschwieg der Copilot seinem Arbeit- 
geber, ebenso eine Überweisung für eine 
stationäre psychiatrische Behandlung 
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am 10.03.2015 und ein Arbeitsunfähig- 
keitsattest für 19 Tage vom 12.03.2015. 
Die bestehende Pflicht zur Selbstanzei- 
ge funktionierte nicht. 

Die Pilotengewerkschaft Cockpit be- 
grüßte die Empfehlungen der BEA im 
Grundsatz. Hinsichtlich der Entbindung 
von der ärztlichen Schweigepflicht je- 
doch gab man sich vorsichtig. Es müss- 
ten weiterhin strenge Kriterien angelegt 
werden, damit die Privatsphäre ge- 
schützt bleibe. Es sei bereits jetzt grund- 
sätzlich möglich, bei Gefahr im Verzug 
medizinische Daten weiterzugeben. 


- Der Gesetzentwurf 


Die bisherige Überprüfungs- und 
Meldepraxis wurde auch durch die EU- 
Kommission gerügt und ein Vertrags- 
verletzungsverfahren gegen Deutsch- 
land, konkret das Dobrindt-Ministeri- 
um, eingeleitet. Auf dessen Initiative 
hin will die Regierungskoalition nun 
das Luftverkehrsgesetz ändern und die 
Pseudonymisierung beenden. Dazu soll 
„eine elektronische Datenbank über 
durchgeführte flugmedizinische Unter- 
suchungen und Beurteilungen“ beim 
LBA angelegt werden, damit die Behör- 
de ihre Aufsicht über die flugmedizini- 
schen Zentren „sicherstellt“. 

Die Datenbank soll sämtliche Un- 
tersuchungsberichte bei festgestellter 
Untauglichkeit enthalten, und zwar per- 
sonenbezogen und namentlich. Zugriff 
darauf soll die flugmedizinische Abtei- 
lung des LBA haben. Die dortigen Me- 
dizinerInnen, die der Schweigepflicht 
unterliegen, sollen bei Zweifeln an der 
Tauglichkeit des Piloten eingreifen und 
die Lizenz zurückziehen können. All 
dies war bisher praktisch unmöglich. 
Zusätzlich soll es in Zukunft einen flie- 
gerärztlichen Ausschuss geben, der das 
LBA bei dem Verdacht einer Gesund- 
heitsstörung bei PilotInnen beraten soll. 

Die Koalitionsfraktionen haben ei- 
nen entsprechenden Gesetzentwurf in 
den Bundestag eingebracht. Darin be- 
gründen die Regierungsparteien, in der 
Vergangenheit seien Mehrfachunter- 
suchungen einer Piloten-Bewerberln 
nicht festgestellt worden und eine Art 
„lauglichkeitstourismus“ sei entstan- 
den: Erhält eine PilotIn eine ihre Taug- 
lichkeit gefährdende oder gar vernei- 
nende Diagnose, geht sie einfach zum 


nächsten Arzt - bis sie seinen Freischein 
hat. Nach dem Entwurf müssen Flugge- 
sellschaften bei ihrem Personal künftig 
vor Dienstbeginn Kontrollen auf Medi- 
kamente, Alkohol oder andere psycho- 
aktive Substanzen durchführen, „wenn 
ein auf Tatsachen begründeter Verdacht 
vorliegt, dass die Dienstfähigkeit der be- 
treffenden Person wegen der Einnahme 
dieser Mittel beeinträchtigt oder ausge- 
schlossen ist“. Zusätzlich soll es prä- 
ventive Zufallskontrollen geben. Diese 
müssen auch unter ärztlicher Aufsicht 
durchgeführt werden. Wie die Kont- 
rollen konkret vorgenommen werden, 
sollen Arbeitgeber und Gewerkschaften 
in Tarifverträgen oder Betriebsverein- 
barungen regeln. Die EU-Aufsichts- 
behörde hatte unangekündigte Alko- 
hol- und Drogentests gefordert. Bislang 
ist Deutschland, so der Entwurf, „das 
einzige EU-Land“, das entsprechende 
internationale Bestimmungen der Flug- 
medizin mit zusätzlichen Datenschutz- 
bestimmungen eingeführt hat. 

Widerstand gegen das veränderte 
Luftverkehrsgesetz leisten die PilotIn- 
nen. Der Sprecher der Pilotenvereini- 
gung Cockpit, Markus Wahl, bezeichnet 
die Gesetzesnovelle als kontraproduktiv. 
Es werde die ärztliche Schweigepflicht 
aufgehoben, wenn medizinische Daten 
an das LBA gemeldet werden: „Kolle- 
gen mit gesundheitlichen oder psychi- 
schen Problemen werden sich aus Angst 
vor Sanktionen künftig nicht mehr ei- 
nem Arzt anvertrauen“. Es wäre somit 
die vollkommen falsche Lehre aus der 
Germanwings-Katastrophe, die flugme- 
dizinischen Regeln zu verschärfen. 

Die Taskforce, zusammengesetzt aus 
Airlines, Behörden und PilotInnen, die 
das Bundesverkehrsministerium nach 
dem Absturz in Frankreich eingerichtet 
hatte, sprach sich für die Abschaffung 
der Pseudonymisierung aus. Der Vor- 
sitzende der Kommission, Matthias von 
Randow vom Bundesverband der deut- 
schen Luftverkehrswirtschaft (BDL), 
sagte bei der Vorstellung eines Zwi- 
schenberichts im Sommer 2015, dass 
durch einen solchen Schritt „die Untersu- 
chungs- und Kontrollpraxis vereinfacht“ 
werde (Traufetter, Ende der Anonymität, 
www.spiegel.de 22.02.2016; Corneloup, 
Unangekündigte Pilotenkontrollen sol- 
len ins Luftverkehrsgesetz einfließen, 
www.airliners.de 22.02.2016; Christina 
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Berndt, Die Lehren aus der Katastrophe, 
SZ 14.03.2015, 8). 


Bund 


vzbv klagt gegen Google 
wegen Mail-Inhaltskon- 
trolle 


Der Verbraucherzentrale Bundesver- 
band (vzbv) hat erneut zwei Klauseln in 
der Datenschutzerklärung von Google 
abgemahnt. Es geht um die Erhebung 
und Verwendung von personenbezoge- 
nen Daten. Zwei Nutzungsbedingun- 
gen enthielten Formulierungen, die die 
Rechte der VerbraucherInnen nach An- 
sicht des vzbv unzulässig einschränken. 
Der Konzern maßt sich an, automatisiert 
Inhalte der NutzerInnen, zum Beispiel 
E-Mails beim Dienst Gmail, zu analy- 
sieren, um etwa personalisierte Wer- 
bung zu platzieren. Der vzbv hält das für 
rechtswidrig, weil es an einer wirksamen 
Einwilligung in diesen intensiven Ein- 
griff fehlt. Viele E-Mails enthalten sehr 
private und höchstpersönliche Informa- 
tionen, die durch das Telekommunikati- 
onsgeheimnis besonders geschützt sind. 
Diese stammen nicht immer nur von der 
NutzerIn, sondern oft auch von Dritten, 
die E-Mails an die NutzerIn senden. 
Dazu Klaus Müller: ‚Es kann nicht sein, 
dass Google die E-Mails seiner Nutzer 
ohne spezifische Einwilligung mitliest, 
um diesen dann maßgeschneiderte Pro- 
duktinformationen anzuzeigen.“ 

Der vzbv geht davon aus, dass es für 
die Erhebung und Nutzung personenbe- 
zogener Daten zu Werbezwecken immer 
eine gesonderte Einwilligung geben 
muss. In einzelnen Klauseln der aktu- 
ellen Datenschutzerklärung wird diese 
Praxis zwar allgemein angekündigt, 
allerdings ohne die Verbraucherln um 
Zustimmung zur konkreten Datenerhe- 
bung und Datennutzung zu bitten. Dass 
die Nutzenden aufgefordert werden, der 
Datenschutzerklärung von Google ins- 
gesamt zuzustimmen, genügt dem vzbv 
nicht. Der Begriff „Werbung“ wird in 
diesem Zusammenhang nicht näher be- 
schrieben, so dass er theoretisch sogar 
Anrufe bei der NutzerIn umfasst. Heiko 
Dünkel, Referent im Team Rechtsdurch- 
setzung beim vzbv: „Auf welchen Ka- 
nälen und für welche Produktgruppen 
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geworben werden soll, ist für den Ver- 
braucher nicht klar erkennbar.“ 

Der vzbv beanstandet zudem eine 
Klausel, nach der nur für die Weitergabe 
„sensibler Kategorien“ von personenbe- 
zogenen Daten eine ausdrückliche Ein- 
willigungserklärung notwendig ist. Eine 
Unterscheidung zwischen „sensiblen“ 
und anderen personenbezogenen Daten 
ist nach Ansicht des vzbv mit den deut- 
schen Datenschutzvorschriften nicht 
vereinbar. 

Der vzbv hatte bereits 2012 gegen 25 
Klauseln der damaligen Datenschutz- 
erklärung und Nutzungsbedingungen 
geklagt und im November 2013 vor 
dem Landgericht Berlin gewonnen. Da- 
gegen ist der Konzern in Berufung ge- 
gangen. Dieses Verfahren liegt derzeit 
beim Kammergericht. Google hat dann 
im Sommer 2015 seine Datenschutzbe- 
stimmungen geändert. Allerdings sind 
die streitgegenständlichen Klauseln 
zum Teil immer noch darin zu finden. 
Auf die Abmahnung durch den vzbv zu 
den beiden weiteren Klauseln aus der 
aktuellen Datenschutzerklärung hatte 
Google bis zum vorgegebenen Termin 
am 12.02.2016 nicht reagiert, so dass 
der vzbv nun eine Unterlassungsklage 
vor dem Landgericht Berlin erhob (vzbv 
PM v. 26.02.2016, vzbv mahnt Daten- 
schutzerklärung von Google erneut ab; 
Mossbrucker, Verbraucherschützer kla- 
gen gegen Google, SZ 26.02.2016, 22). 


Bund 


Bundestrojaner ist 
einsatzbereit 


Nach monatelangen Vorbereitungen 
steht den Ermittlern von Bund und Län- 
dern die umstrittene eigene Software für 
Online-Durchsuchungen zur Verfügung. 
Ein Sprecher des Bundesinnenministeri- 
ums (BMI) teilte mit, dass die Genehmi- 
gung für den sogenannten Bundestroja- 
ner erteilt worden sei. Die technischen 
Tests und der notwendige rechtliche 
Vorlauf seien abgeschlossen. Der Bun- 
destrojaner könne jederzeit zum Einsatz 
kommen. Ursprünglich wollte das Bun- 
deskriminalamt (BKA) ihn im Herbst 
2015 einsatzbereit haben. 

Bei der Online-Durchsuchung wer- 
den Daten auf den Speichermedien von 


Computern oder Smartphones eines Ver- 
dächtigen abgeschöpft. Das Programm 
dient der Überwachung laufender Ge- 
spräche und Chats. Der Ministeriums- 
sprecher erläuterte: „Grundsätzlich ist 
das eine Fähigkeit an einer Stelle, wo 
es eine solche Fähigkeit nicht gab.“ 
Die Software dient der Quellen-Tele- 
kommunikationsüberwachung. Sie soll 
es den Ermittlern ermöglichen, Kom- 
munikation mitzuverfolgen, bevor sie 
verschlüsselt ist. Die Freigabe sei „nach 
umfassenden Tests und einer externen 
Software-Prüfung“ im Herbst 2015 er- 
folgt. Auch die Landeskriminalämter 
könnten das Programm nutzen; ihre 
MitarbeiterInnen müssten aber noch ge- 
schult werden. 

Beim Bundestrojaner handelt es sich 
um ein Programm, das — wie ein tro- 
janisches Pferd — auf den Rechner des 
Verdächtigen gespielt werden und den 
Ermittlern dann über das Internet die 
Chance geben soll, die Kommunikati- 
on mit dem Gerät mitzuhören oder zu 
lesen. Einer Vorgängerversion, die Er- 
mittler nicht nur mitlesen ließ, sondern 
gleich Zugriff auf den ganzen Rechner 
ermöglichte, setzte das Bundesverfas- 
sungsgericht 2008 enge Grenzen, die 
von der neuen Software beachtet werden 
sollen. Der Sprecher des Innenministeri- 
ums betonte, das Instrument komme nur 
aufgrund gesetzlicher Voraussetzungen 
zum Einsatz. Die Bundesdatenschutz- 
beauftragte Andrea Voßhoff sei beteiligt 
gewesen. 

Der Grünen-Fraktionsvize Konstantin 
von Notz zeigte sich skeptisch, ob der 
Trojaner verfassungskonform eingesetzt 
werden kann: „Das Bundesverfassungs- 
gericht hat klargemacht, dass ein heim- 
licher Fernzugriff nur unter strengsten 
Voraussetzungen und bei überragend 
wichtigen Rechtsgütern zulässig sein 
kann.“ Dies ist demnach etwa bei Gefahr 
für Leib und Leben oder Delikten gegen 
den Bestand des Staats der Fall. Von Notz 
forderte unter anderem, dass der dem 
Programm zugrundeliegende Quellcode 
offengelegt werden müsse, also der Pro- 
grammiertext der Software. Ähnlich äu- 
Berte sich auch für den Chaos Computer 
Club (CCC) Falk Garbsch: „Es ist fast 
unmöglich nachzuweisen, dass ein Pro- 
gramm eine bestimmte Funktion nicht 
hat.“ Der CCC hatte 2011 eine ähnliche 
Software bayerischer Behörden analy- 
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siert und festgestellt, dass das Programm 
einen umfassenden Zugriff auf die Spei- 
cher der Zielpersonen sowie die Fern- 
steuerung der Rechner ermöglichte. Der 
CCC wies zudem darauf hin, dass ein 
Trojaner immer auch ein Einfallstor für 
andere Kriminelle ist. Diese könnten sich 
Schwachstellen in der Software zunutze 
machen, die Funktionen des Trojaners 
erweitern und ihre eigenen Program- 
me einschleusen. So könnten sich z. B. 
ausländische Geheimdienste oder Kri- 
minelle Zugang zu Rechnern von Ver- 
dächtigen verschaffen, die von deutschen 
Behörden überwacht werden (BKA- 
Software zur Online-Überwachung ein- 
satzbereit, www.focus.de 22.02.2016; 
BKA setzt nun „Bundestrojaner“ ein, SZ 
23.02.2016, 7). 


Bund 


BND-US-Kooperation 
lauft wieder 


Gemäß Presseberichten haben der 
deutsche Bundesnachrichtendienst 
(BND) und der US-Geheimdienst Na- 
tional Security Agency (NSA) die ge- 
meinsame Überwachung des Internets 
über die Abhörstation in Bad Aibling 
wieder aufgenommen; wo Parabolspie- 
gel, die sich unter den überdimensio- 
nierten Golfbällen verbergen, auf Sa- 
telliten ausgerichtet sind. Die Station 
fängt nach Angaben aus Regierungs- 
kreisen vor allem Kommunikation aus 
dem sogenannten islamischen Krisen- 
bogen ab — Afghanistan, Syrien, dem 
Irak, Libyen. 

Im Mai 2015 war die Lausch-Koope- 
ration nach einem Eklat ausgesetzt wor- 
den. Seit 2002 hatten NSA und BND 
hier zusammengearbeitet. Laut der 
streng-geheimen Vereinbarung sollte 
es vor allem um die Suche nach Ter- 
roristen und Waffenschiebern gehen. 
Doch dann kam heraus, dass die NSA 
den deutschen Freunden Zehntausende 
Suchbegriffe, sogenannte Selektoren, 
untergeschoben hatte, die gar nichts 
mit der Suche nach Kriminellen zu tun 
hatten. Es ging um ganz gewöhnliche 
Spionage — auch gegen DiplomatInnen 
und SpitzenpolitikerlInn befreunde- 
ter EU-Staaten. Das Kanzleramt war 
düpiert, der BND wurde angewiesen, 
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künftig für jeden von den Amerikanern 
übermittelten Suchbegriff eine Begrün- 
dung zu verlangen. So etwas dürfe sich 
nicht wiederholen. 

Die NSA forderte zu Geduld auf. Im- 
merhin hatten die USA den BND zuletzt 
mit 4,5 Millionen Suchbegriffen belie- 
fert, die 1,2 Millionen Personen und In- 
stitutionen betrafen. Nur für abgehörte 
Telefonnummern gab es jeweils eine 
kurze Begründung der NSA, nicht für 
E-Mail-Adressen, das Gros der Über- 
wachung. Kurzerhand beendeten BND 
und Kanzleramt deshalb diesen Teil der 
Kooperation. Die Datenbank der NSA 
für die Internet-Suchbegriffe wurde ab- 
geschaltet. Prompt machten Alarmmel- 
dungen die Runde: Davon werde sich 
das deutsch-amerikanische Geheim- 
dienstverhältnis nicht erholen, es gebe 
schon Überlegungen der USA, künftig 
lieber stärker mit Polen, Skandinaviern 
oder Franzosen zu kooperieren. Und, 
besonders gravierend: Deutschland 
werde künftig weniger Hinweise auf 
terroristische Bedrohungen erhalten — 
und stünde schutzlos da. 

Nichts davon ist eingetreten. Bereits 
seit Monaten liefern die US-Amerika- 
ner nun Stück für Stück die eingefor- 
derten Begründungen, der BND gibt sie 
in seine Computer ein. Vor allem die 
Netze in den Krisengebieten sollen das 
Ziel sein. Die erfassten Datenmengen 
sind riesig. Gerechnet wird in „Sessi- 
ons“, die jeweils eine Stunde dauern. 
Vor der teilweisen Stilllegung wurden 
in einer Session 23 Millionen Rohda- 
ten erfasst. Auf Bad Aibling, das einen 
„einzigartigen Zugang“ erlaube, wie 
die NSA einmal schrieb, will man nicht 
verzichten. 

Bisher spricht nichts dafür, dass die 
Amerikaner erneut versuchen, den 
Deutschen etwas unterzujubeln. In kei- 
nem einzigen Fall soll der BND in den 
vergangenen Monaten eine der gelie- 
ferten Begründungen der NSA als nicht 
stichhaltig abgelehnt haben. Das Weiße 
Haus, so heißt es in Berlin, sei zudem 
zufrieden, dass bisher die meisten der 
hässlichen Details über amerikanische 
Spionageoperationen gegen die eu- 
ropäischen Freunde unter der Decke 
blieben. Genau deshalb hatte das Kanz- 
leramt verfügt, dass nur ein Sonderer- 
mittler, aber nicht der NSA-Untersu- 
chungsausschuss des Bundestages, die 


Einzelheiten erfahren dürfe. Die Oppo- 
sition im Bundestag klagt dagegen vor 
dem Bundesverfassungsgericht. 
Inzwischen läuft die Kooperation 
zwischen deutschen und US-Geheim- 
diensten wieder reibungslos, nichts 
werde zurückgehalten, heißt es. Auch 
bei der Terrorwarnung an Silvester 
2015/16 in München spielten die Ame- 
rikaner eine Rolle. Die Proteste aus 
Berlin sind leiser geworden. Inzwi- 
schen kam heraus, dass auch der BND 
befreundete Regierungen von Bad 
Aibling aus ausspionierte. Der Dienst- 
stellenleiter wurde wie andere höhe- 
re Chargen der Abteilung Technische 
Aufklärung inzwischen versetzt. Das 
Kanzleramt plant, nun den Entwurf ei- 
nes Gesetzes vorlegen, der politische 
Spionage gegen europäische Freunde 
verbietet und dem Bundestag ein Kon- 
troll- und Mitspracherecht bei der Fra- 
ge einräumt, wer künftig abgehört wer- 
den darf (Mascolo, Terrorfahndung im 
Alpenvorland, SZ 09./10.01.2016, 1). 


Bund 


BND verweigert Daten- 
schutzprüfung 


Die Bundesbeauftragte für den Da- 
tenschutz und die Informationsfrei- 
heit (BfDI) Andrea Voßhoff wirft 
dem Bundesnachrichtendienst (BND) 
in einem 60-seitigen Bericht zur 
deutsch-US-amerikanischen Koopera- 
tion in der Überwachungsstation Bad 
Aibling vor, ihrer Behörde die sog. 
NSA-Selektoren nicht zur Prüfung 
zu überlassen. Dies sei ein „schwer- 
wiegender Verstoß“ gegen das Bun- 
desdatenschutzgesetz (BDSG). Das 
BDSG schreibt allen öffentlichen Stel- 
len des Bundes vor, die Behörde der 
BfDI zu unterstützen. Gemäß dem Be- 
richt unterliegen alle Selektoren, die 
über deutsche Systeme laufen, dem 
deutschen Recht und damit der BfDI- 
Kontrolle. Der BND hatte über Jah- 
re hinweg für den US-Geheimdienst 
NSA Millionen Suchbegriffe, die sog. 
Selektoren, in seine eigenen Systeme 
eingespeist. Gemäß der BfDI hätten 
diese Selektoren niemals verwendet 
werden dürfen („Schwerwiegender 
Verstoß“, Der Spiegel 16/2016, 23). 
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Bund 


Stasi-Unterlagen- 
Verwaltung soll reformiert 
werden 


Die Expertenkommission zur Re- 
form der Stasi-Unterlagen-Behörde 
legte dem Kulturausschuss des Bundes- 
tags einen Vorschlag vor, wonach aus 
dem Bundesbeauftragten für die Stasi- 
Unterlagen eine Art Opferbeauftragter 
nach dem Vorbild des Patientenbeauf- 
tragten werden soll. Das vom früheren 
Ministerpräsidenten Sachsen-Anhalts, 
Wolfgang Böhmer (CDU), geführte 
Gremium will mehrere „Bausteine“ 
für eine Reform präsentieren. Die Zu- 
ständigkeit für die Stasi-Akten soll das 
Bundesarchiv erhalten. Die Akten sollen 
jedoch „nutzernah“ bleiben; d. h. die 
Akteneinsicht soll nicht eingeschränkt 
werden. Die Forschungsabteilung des 
Bundesbeauftragten soll eigenständig 
werden. Die SPD-Fraktion drängt auf 
eine rasche Umsetzung der Reform, die 
im Grundsatz im schwarz-roten Koali- 
tionsvertrag vereinbart ist. Sie will Ro- 
land Jahn erst für eine zweite Amtszeit 
wiederwählen, wenn Einigkeit über die 
Auflösung der einstigen Gauck- bzw. 
Birthler-Behörde besteht. So lange soll 
Jahn das Amt kommissarisch führen. 
Jahn habe Bereitschaft signalisiert, den 
umgewandelten Posten zu übernehmen 
(Ende der Jahn-Behörde, Der Spiegel 
10/2016, 29). 


Bayern 


VKB nutzt „künstliche 
Intelligenz“ zur Sachbear- 
beitung 


Die Versicherungskammer Bayern 
(VKB) nutzt den IBM-Supercomputer 
Watson in Kooperation mit der Hoch- 
schule für angewandte Wissenschaften 
in München, um die Tausende Schrei- 
ben, die KundInnen zusenden, zu ana- 
lysieren. Die Software soll, so VKB- 
Managerin Isabella Martorell Naßl, 
„Unmutsäußerungen in Kundenschrei- 
ben erkennen und in verschiedene Ka- 
tegorien sortieren“. Ergebnis soll eine 
passgenaue Antwort sein mit einer Lö- 
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sung des benannten Problems und kein 
vertröstendes Standardschreiben. Das 
Münchener Versicherungsunternehmen 
erhält jährlich mehr als sieben Millionen 
Kundenbriefe und Mails. Schon bisher 
werden sie per Computer analysiert, der 
die Post nach Schlagworten untersucht, 
ohne aber den Zusammenhang der Wör- 
ter zu erkennen. Angestellte arbeiten 
manuell nach, um die Schreiben an den 
richtigen Ansprechpartner zu leiten, der 
sie dann beantwortet. 

Versicherungsangestellte und Sprach- 
wissenschaftlerInnen haben Watson u. 
a. Unmutsäußerungen beigebracht. Das 
Programm führte dann selbsttätig Ana- 
lysen durch. Mit dem Ergebnis starte- 
ten die Trainer eine neue Runde mit 
Instruktionen. Inzwischen soll Watson 
sogar Ironie erkennen können. „Wenn 
ein Kunde schreibt, ‚vielen Dank für 
die schnelle Schadenbearbeitung‘, und 
sich im nächsten Satz beschwert, dann 
erkennt das Programm das und reagiert 
entsprechend.‘ Watson ordnet die Sät- 
ze in den Schreiben in drei Kategorien 
ein: Auslöser, Unmutsäußerung und 
Forderung. Auslöser: Niemand hat sich 
gemeldet. Unmutsäußerung: Die Kun- 
dIn stellt fest, dass sie keine Reaktion 
erhalten hat, schreibt: „Ich bin sauer.“ 
Die Forderung: „Ich bitte Sie nochmals, 
meinen Sachverhalt zu prüfen und sich 
mit mir in Verbindung zu setzen.“ 

Beim Test der VKB, wie gut sich 
Watson im Vergleich zu Menschen 
schlägt, die Unterlagen von Hand sor- 
tieren, so Naßl, habe die Maschine 
„sehr überzeugend“ gewonnen. Im 
nächsten Schritt will die VKB Watson 
nun im Alltag nutzen. Arbeitsplätze soll 
das nicht kosten, nur Anpassungen wer- 
de es geben. Das Programm analysiert 
Sprache und reagiert entsprechend. Der 
Name des Computers bezieht sich auf 
Thomas Watson, den ersten IBM-Chef. 
2011 machte Watson Schlagzeilen, als 
der Computer die US-Quizshow „Jeo- 
pardy“ gewann. Inzwischen ist sein 
Programm sehr viel weiter entwickelt 
und wird im Gesundheitswesen, im 
Einzelhandel, bei der Analyse sozia- 
ler Netze und in vielen anderen Wirt- 
schaftsbereichen eingesetzt, darunter 
Banken und Versicherungen. Die Un- 
ternehmen erhoffen sich eine zielge- 
nauere Kundenansprache und auch 
Kostensenkungen. 


Bayerische Besonderheiten, so Naßl, 
habe das Programm inzwischen auch 
drauf: „Mit der doppelten Verneinung 
hat Watson überhaupt keine Proble- 
me“ (Fromme, Ärger an Watson, SZ 
09.12.2015, 17). 


Bayern 


Holtzbrinck plant vollauto- 
matisierte Krankenversi- 
cherung nach US-Vorbild 


In den USA ist eine vollständig digi- 
talisierte Krankenversicherung mit dem 
Namen „Oscar“ am Markt, bei der alles, 
von der Antragstellung über die Arzt- 
wahl bis hin zur Patientensteuerung, 
über eine Smartphone-App erledigt 
wird. Google hat im September 2015 33 
Millionen Dollar bei Oscar investiert. 
Oscar wird als mögliches Zukunftsmo- 
dell weltweit von Krankenkassen und 
privaten Versicherern aufmerksam ver- 
folgt. Ein Werbevideo beschreibt, wie 
das System funktioniert: „Hi, we‘re 
Oscar“. Kundin Joanna hat ein Problem 
und teilt dies über die App mit: „Ich 
habe Ausschlag“. Die App antwortet 
sofort — kostenfrei: „Soll unser dienst- 
habender Arzt anrufen?“ Wenn Joanna 
zu einem Hautarzt möchte, dann kostet 
das 100 Dollar (92 Euro) Zuzahlung. 
Für eine Hausarzt-Konsultation sind nur 
60 Dollar fällig. Joanna entscheidet sich 
für den Hausarzt. Die App schlägt eine 
Reihe von Medizinern in der Nähe vor 
und kann die Terminvereinbarung über- 
nehmen. Joanna möchte aber jetzt doch 
erst den diensthabenden Arzt telefonisch 
konsultieren und lädt vor dem Gespräch 
ein Foto ihres Ausschlags hoch. 

Der deutsche Investor Dieter von 
Holtzbrinck plant, in Deutschland mit 
einem digitalen privaten Krankenversi- 
cherer nach dem Vorbild Oscar in den 
Markt zu gehen. Das Investment wird 
im zweistelligen Millionenbereich lie- 
gen. Im ersten Quartal 2017 soll die Ge- 
sellschaft in München an den Start ge- 
hen. Der neue Versicherer will sich auf 
die Kranken-Vollversicherung und die 
Pflegeversicherung konzentrieren, nicht 
so sehr auf die Zusatzpolicen für Zahn- 
ersatz oder Einbettzimmer im Kranken- 
haus. Der Unternehmensberater Roman 
Rittweger leitet den Aufbau und soll 


DANA » Datenschutz Nachrichten 2/2016 


Vorstand werden. Rittweger habe mit 
der erfolgreichen Gründung der Firma 
Almeda gezeigt, dass er das Geschäft 
versteht. Almeda ist Gesundheitsdienst- 
leister für Versicherer, Kassen und ande- 
re Firmen. 

Bis zum Markteintritt haben die Grün- 
der noch viele Hürden zu nehmen. Sie 
müssen die Finanzaufsicht Bafin davon 
überzeugen, dass die künftigen Vorstän- 
de geeignet sind und die Finanzplanung 
solide ist. Angesichts der niedrigen Zin- 
sen ist es nicht einfach, das Unterneh- 
men stabil aufzustellen. Anders als in 
den USA muss ein privater Krankenver- 
sicherer in Deutschland Alterungsrück- 
stellungen aufbauen, damit die Beiträge 
im Alter — wenn die Gesundheitskosten 
höher sind - nicht astronomische Höhen 
erreichen. Wegen der niedrigen Zinsen 
dürfte das gerade am Anfang nicht ein- 
fach sein und viel von den Beiträgen 
kosten. Die Gründer glauben, dass sie 
trotzdem wettbewerbsfähig sein wer- 
den. Die Digitalisierung sorge für nied- 
rigen Aufwand beim Vertragsabschluss 
und günstige Verwaltungskosten. Die 
Firma will eine ausgefeilte digitale Ri- 
sikoanalyse für die Kundengewinnung 
einsetzen (Fromme, Digital wie Oscar, 
SZ 18.12.2015, 16). 


Bayern 


Mitarbeiterüberwachung 
im Bayern-Fanshop 
Oberhausen 


Der Fußballclub Bayern München 
hat nicht nur Fans außerhalb von Bay- 
ern, sondern auch einen Fanshop in 
Oberhausen, zwischen Schalke und 
Dortmund, wo im November 2015 ein 
erweiterter Laden eingeweiht wurde. 
Ein Tag vor der Eröffnung des neuen 
Ladens verlangte der Betreiber des Ein- 
kaufszentrums eine Bescheinigung vom 
Fanschop-Betreiber, dass die installier- 
ten Überwachungskameras nicht gegen 
den Datenschutz verstoßen. Die Daten- 
schutzbeauftragte des FC Bayern stellte 
diese Bestätigung umgehend aus, ohne 
sich die Überwachung vor Ort ange- 
schaut zu haben und unter Zitieren einer 
nicht zutreffenden Rechtsgrundlage. 

Eine dort beschäftigte Verkäuferin 
klagte vor dem Arbeitsgericht Oberhau- 
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sen, weil zwei von elf Überwachungs- 
kameras den dortigen Sozialraum rund 
um die Uhr ins Visier nehmen und of- 
fenbar live nach München übertragen, 
nicht aber auf irgendein Gerät in Ober- 
hausen. Im Sozialraum ziehen sich die 
Beschäftigten um und nehmen ihre 
Zwischenmahlzeiten ein. Dort sind aber 
auch zwei Tresore in die Wand eingelas- 
sen. Vor der Kamerainstallation waren 
die Beschäftigten nicht informiert wor- 
den. Die Bayern-Manager behaupten, 
damit Diebstahl verhindern zu wollen, 
was etwas unglaubwürdig ist, weil dort 
noch nie jemand in die Kasse oder in die 
Tasche einer KollegIn gegriffen habe. 
Der Sozialraum ist nach hinten mit einer 
schweren Stahltür gesichert, nach vorne 
mit einem Alarmmelder. Wer die Tür 
ohne Schlüssel öffnet, löst Alarm aus. 
Insbesondere nachdem der Umsatz stark 
gefallen ist, vermutete die Belegschaft, 
dass sie mit der Vollüberwachung unter 
Druck gesetzt werden solle. 

Die klagende Verkäuferin, die seit 16 
Jahren im Fanshop arbeitet, verlangte im 
Dezember 2015, dass die Kameras im 
Sozialraum abgebaut werden und droh- 
te mit Klage. Nachdem nichts passierte, 
erhob sie Klage, weil es „keinen Win- 
kel mehr“ gibt, der nicht überwacht ist 
und sie einen „Striptease vor laufender 
Kamera“ hinlegen müsse, wenn sie sich 
umzieht. Der Arbeitgeber ignorierte den 
anberaumten Prozesstermin und wurde 
am 07.01.2016 vom Arbeitsgericht in 
einem Versäumnisurteil zum Abbau ver- 
pflichtet. Statt aber die Kameras gemäß 
dem Urteil abzubauen, wurde dieses 
vom deutschen Fußball-Rekordmeister 
mit einem Einspruch angefochten. Es 
wurde behauptet, die beiden Kameras 
im Sozialraum hätten einen engeren 
Blickwinkel als die im Laden; bzgl. der 
Aufbewahrungszeit der Bilder war zu- 
nächst von 180 Tagen die Rede, dann 
von erheblich kürzer, ohne sich fest- 
zulegen. Ende Januar 2016 wurde der 
Filialleiter in Oberhausen nach fast 19 
Jahren fristlos gekündigt, obwohl man 
ihn noch kurz zuvor als verdienten Mit- 
arbeiter bezeichnet hatte. Er hatte sich in 
einem Brief an den Bayern-Vorstand — 
unter Bezugnahme auch auf die Kame- 
ras — über Arbeitsbedingungen auf dem 
„Niveau der untersten Kreisklasse“ be- 
klagt (Dahlkamp/Latsch/Schmitt, Wei- 
ter Winkel, Der Spiegel 8/2016, 54-56). 


Berlin 


Digitales Inkassounter- 
nehmen „Pair“ 


Das Berliner Internetunternehmen 
Finleap will mit einem neuen Start-up 
die etablierte Inkassowirtschaft angrei- 
fen. Mit „Pair“, so der Name, will es 
säumige Zahlungspflichtige statt auf 
dem Postweg ausschließlich über E- 
Mail und SMS kontaktieren. Zudem 
will das Unternehmen mit Hilfe von 
Algorithmen herausfinden, warum eine 
KundlIn nicht zahlt und wie sich am bes- 
ten das Geld eintreiben lässt. Dabei sol- 
len auch Daten zum Einsatz kommen, 
die eine SchuldnerIn in sozialen Netz- 
werken hinterlässt. Investor und Berater 
ist Sebastian Diemer, Mitbegründer des 
umstrittenen Hamburger Start-ups Kre- 
ditech (vgl. DANA 3/2013, 118), das 
Online-Kredite vergibt und dabei die 
Datenspuren der KundInnen im Netz 
auswertet (Digitale Geldeintreiber, Der 
Spiegel 7/2016, 72). 


Nordrhein-Westfalen 


Axa setzt auf Pay-as-you- 
drive und Digitalisierung 


Mit dem neuen Programm will der 
Versicherer Axa (vgl. DANA 1/2015, 
39 f.), dessen Deutschlandsitz in Köln 
ist, Junge FahrerInnen locken. Wer un- 
ter 25 ist, kann damit bis zu 15% Rabatt 
erreichen. Die FahrerIn muss dafür eine 
Smartphone-App in einem Zeitraum 
von zwölf Wochen mindestens 40 mal 
für drei Kilometer oder mehr einschal- 
ten und hierbei einen guten Score er- 
zielen. Ist die App auf dem Handy an- 
geschaltet, misst sie Geschwindigkeit, 
Verhalten beim Bremsen, Beschleuni- 
gung und Kurvenfahren mit den Senso- 
ren des Smartphones, also ohne Black- 
box, im Auto. Nach der Fahrt wird der 
FahrerIn das Auswertungsergebnis an- 
gezeigt — die Strecke auf einer Karte 
und mit einzelnen dunkelrot markierten 
Punkten. Beispiel: „Kilometer 5,3: Viel 
zu starke Bremsung, Kilometer 9,78: 
Viel zu starke Beschleunigung.“ Der 
Score ist miserabel: 46 von 100 mög- 
lichen Punkten beim Beschleunigen, 45 
Punkte beim Bremsen, nur beim Kur- 
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venfahren 64. „Gut“, lobt die App, aber 
nur da. 

Damit bringt nach der Hannoveraner 
VHV (DANA 4/2015, 179) ein weiterer 
großer Autoversicherer einen Telema- 
tiktarif auf den Markt. Die Marktführer 
HUK Coburg und Allianz wollen 2016 
folgen. Das Besondere an der Axa-App: 
Sie kommt ohne festverbaute Box aus 
und kann von der Fahrerln beliebig 
an- und ausgeschaltet werden, was die 
Anwendung für datenschutzbewusste 
FahrerInnen akzeptabler machen könn- 
te als Systeme mit Dauerüberwachung. 
Kritisiert wird, dass das verwendete 
System das Fahrverhalten nur ungenau 
misst und deshalb ungeeignet sei. Axa 
sieht dies nicht so. 

Für FahrerInnen unter 25 müssen die 
Versicherer mehr als doppelt so viel für 
Schäden ausgeben als für Versicherte 
zwischen 26 und 68. Dem Unternehmen 
wie auch anderen Anbietern geht es of- 
fenbar weniger darum, den individuel- 
len Tarif personengenau zu berechnen, 
sondern darum, das Fahrverhalten zu 
beeinflussen. Dabei sollen Apps und 
Vergleiche als spielerische Verkehrser- 
ziehung mit FahrerInnen aus derselben 
Altersgruppe helfen. 

Die Versicherer versuchen so, die 
Schadenlast durch junge FahrerInnen zu 
reduzieren. Zudem erlangen sie große 
Datenmengen über das Fahrverhalten, 
die langfristig in die Tarifierung ein- 
fließen können, und kommen mit ihren 
Kundinnen öfter in Kontakt als bisher, 
wo sie nur einmal im Jahr die Rechnung 
herausschicken und danach nur bei ei- 
nem Schaden gefragt sind. 

Demselben Ziel dient auch das Pilot- 
projekt „Smartparking“, das die Axa in 
Düsseldorf testet. Mit App und Plastik- 
karte parken Versicherte des Unterneh- 
mens in den meisten Parkhäusern Düs- 
seldorfs ohne Parkschein und Bargeld. 
Die AutofahrerInnen erhalten digital 
ständig eine genaue Übersicht, wo wie 
viele Plätze frei sind. Partner ist dabei 
das Start-Up Evopark. 


Die klassischen Versicherungsunter- 
nehmen sehen ihre alten Geschäftsmo- 
delle als bedroht an, weil Autohersteller 
in das Geschäft verstärkt einsteigen und 
Internetportale die bisherigen Vertriebs- 
wege in Frage stellen. Eine ganze Reihe 
von Start-ups bietet an, die ungeliebte 
Versicherung einfacher zu machen. 

Axa-Deutschlandchef Thomas Buberl 
will mit Digitalisierung, Datenauswer- 
tung, Kostensenkung und Erhöhung der 
Kundenfrequenz die eigene Position ret- 
ten: „Dafür brauchen wir auch andere 
Leute.“ Auch Umschulung sei wichtig. 
Die Mehrzahl seiner Programmiere- 
rInnen arbeite noch mit der Uralt-Pro- 
grammiersprache Cobol, es gebe viele 
VersicherungsmathematikerInnen, aber 
wenig DatenanalystInnen. Außerdem 
zielt Buberl auf eine Flexibilisierung der 
Arbeitsplätze: „Wir brauchen keine fes- 
ten Arbeitsplätze mehr“. Die belgische 
Schwester habe das vorgemacht. Das 
bisherige betriebliche Vorschlagswesen 
hat die Gesellschaft ersetzt: Wer eine 
gute Geschäftsidee hat, bekommt für 
die Umsetzung einen Etat und einen Ar- 
beitstag pro Woche. Zwei Ideen wurden 
schon umgesetzt (Fromme, Das Smart- 
phone fährt mit, SZ 04.12.2015, 20). 


Thüringen 


Schlecht geschredderte 
Krankenakten im Karne- 
vals-Konfettiregen 


Beim Straßenkarneval in Dermbach im 
Wartburgkreis sind zerschredderte Patien- 
tenakten als Konfetti unters Volk gebracht 
worden. Landesdatenschutzbeauftragte 
Lutz Hasse bestätigte am 03.02.2016, 
dass auf den nicht fachgerecht zerkleiner- 
ten Papierschnipseln personenbezogene 
Daten wie Namen, Adressen und Tele- 
fonnummern zu lesen waren. Eine An- 
wohnerin hatte beim Straßenfegen nach 
dem Karnevalsumzug zerschredderte 
Patientenunterlagen gefunden, auf denen 


Jetzt DVD-Mitglied werden: 
www.datenschutzverein.de 
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der Name ihrer Schwester erkennbar war. 
Hasse kündigte ein Verwaltungs- und 
Bußgeldverfahren wegen des Verstoßes 
gegen Datenschutzrecht an. 

Nach Angaben des Klinikums Bad 
Salzungen handelt es sich möglicher- 
weise um Papiere aus einer Außenstelle 
des vom Klinikum betriebenen medi- 
zinischen Versorgungszentrums. Eine 
kurzfristig veranlasste Prüfung habe 
ergeben, „dass unter Missachtung der 
Vorschriften patientenbezogene Papiere 
nicht ordnungsgemäß entsorgt wurden“. 
Geschreddertes Material aus dem Ver- 
sorgungszentrum in Kaltennordheim sei 
nicht bis auf die vorgeschriebene End- 
größe zerkleinert und aus den Praxisräu- 
men entfernt worden. „Die Vermutung 
liegt nahe, dass dieses von dort den Weg 
auf die Dermbacher Straßen fand.“ Im 
Klinikum selbst habe es keine Unregel- 
mäßigkeiten gegeben, wie eine Über- 
prüfung ergeben habe. Auf den in der 
Konfettikanone gelandeten Schnipseln 
sollen auch Namen der Ärzte erkennbar 
gewesen sein. 

Das Krankenhaus hat den Landes- 
datenschutzbeauftragten nach eigenen 
Angaben unverzüglich über den Vorfall 
informiert. Hasse schickte noch am glei- 
chen Tag zwei Mitarbeiterinnen nach 
Dermbach, um den Vorfall vor Ort zu 
untersuchen. Die Polizei ermittelt nach 
eigenen Angaben nicht wegen des Vor- 
falls. Es liege keine Strafanzeige vor. so 
ein Sprecher der Landespolizeiinspekti- 
on Suhl. 

In Thüringen wird noch über den 
Skandal um ein wildes Aktenlager im 
nahe gelegenen Immelborn diskutiert. 
Dort waren im Sommer 2013 unter an- 
derem auch sensible Unterlagen aus 
Arztpraxen gefunden worden. Die Um- 
stände des Aktenfunds und die Rolle 
des Thüringer Datenschutzbeauftrag- 
ten dabei beschäftigt einen Untersu- 
chungsausschuss des Landtags (Kar- 
neval vs. Datenschutz: Patientenakten 
aus der Konfetti-Kanone, www.heise.de 
11.02.2016). 
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Datenschutznachrichten aus dem Ausland 


Dänemark 


Kfz-Kennzeichen-Scan- 
ning stößt auf deutsche 
Kritik 


Dänemarks Polizei richtet an den 
Grenzübergängen nach Deutschland und 
weiteren Verkehrsknoten, an insgesamt 
24 Standorten, Kfz-Kennzeichen-Scan- 
geräte ein, mit denen alle passierenden 
Autos erfasst werden. Das Justizminis- 
terium des Landes rechnet damit, dass 
ca. 30 Mio. Kennzeichen pro Jahr erfasst 
werden. Diese Daten werden mit Poli- 
zeiregistern abgeglichen, etwa um ge- 
stohlene Autos oder gesuchte Personen 
aufzufinden. Erklärte Zielsetzung ist die 
Bekämpfung der grenzüberschreitenden 
und der Banden-Kriminalität, aber auch 
das Aufspüren unversicherter Autos. 
Kennzeichendaten, bei denen es keine 
Treffer beim Abgleich mit Polizeida- 
teien gegeben hat, werden nicht sofort, 
sondern erst nach 24 Stunden gelöscht, 
in besonderen Fällen, etwa zwecks Er- 
stellung bestimmter polizeilicher Lage- 
bilder, erst nach 30 Tagen. 

Die Leiterin die Unabhängigen Lan- 
deszentrums für Datenschutz Schles- 
wig-Holstein, Marit Hansen, die in 
dieser Frage sich mit ihren dänischen 
Kollegen austauschte, erklärte: „Aus 
deutscher Sicht ist diese umfassende 
und verdachtslose Vorratsdatenspeiche- 
rung problematisch“. Nach einem Urteil 
des Bundesverfassungsgerichts aus dem 
Jahr 2008 ist Kfz-Kennzeichen-Scan- 
ning in Deutschland nur erlaubt, wenn 
Daten bei Nicht-Treffern sofort spuren- 
frei gelöscht würden. Den Anlass für das 
Urteil hatte u. a. eine polizeirechtliche 
Regelung von Schleswig-Holstein ge- 
geben. Bis auf die CDU wendeten sich 
sämtliche Fraktionen im Landtag von 
Schleswig-Holstein gegen die Über- 
wachung, so zZ. B. der innenpolitische 
Sprecher der FDP Ekkehard Klug: „Es 
wird Bürger geben, die auf eine Fahrt 
nach Dänemark verzichten, sofern es für 
sie nicht unabdingbar ist.“ Der rechts- 
politische Sprecher der Grünen Burk- 
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hard Peters meinte: „Ich halte das für 
eine Belastung der deutsch-dänischen 
Beziehungen. Wir erleben einen Roll- 
back europäischer Freiheiten, der sich 
gewaschen hat“. Auch SPD-Innenpo- 
litiker Kai Dolgner kritisierte, riet aber 
zu Zurückhaltung, „andere Länder an 
den eigenen Abwägungen zu messen“. 
Patrick Breyer von den Piraten kanzelte 
die Maßnahme als unverhältnismäßige 
Massenüberwachung ab. Der dänischen 
Überwachung vergleichbare Kontroll- 
maßnahmen an Hauptstraßen und Au- 
tobahnen gibt es auch in Frankreich, 
den Niederlanden, Belgien, Italien und 
Ungarn (Dänemark: Ab März wird jedes 
Auto digital erfasst, Schleswig-Holstei- 
nische Landeszeitung 19.02.2016, 1, 4; 
Hiersemenzel, Minister wirft Dänemark 


Misstrauen vor, Kieler Nachrichten 
20.02.2016, 11). 

Schweiz 
Überwachungsgesetz 


beschlossen 


Das Schweizer Parlament hat am 
18.03.2016 dem revidierten Gesetz zur 
Überwachung des Post- und Fernmelde- 
verkehrs (BÜPF) zugestimmt. Kritike- 
rInnen sehen in dem Gesetz eine mas- 
sive Verschärfung der Überwachungs- 
methoden in der Schweiz. Es erlaubt 
den Einsatz von Staatstrojanern und 
„besonderen technischen Geräten“ bei 
der Ortung von Handys. In der Schluss- 
abstimmung stimmten beide Kammern 
des Parlaments — der National- und der 
Ständerat — der Revision zu. Der Natio- 
nalrat sprach sich mit 160 zu 23 Stim- 
men bei 12 Enthaltungen dafür aus, der 
Ständerat mit 41 zu 4 Stimmen. Wäh- 
rend die Mehrheit der Sozialdemokra- 
tischen Partei (SP) und der rechtspopu- 
listischen Schweizer Volkspartei (SVP) 
mit „Ja“ stimmten, votierte die Fraktion 
der Grünen dagegen. 

Für die Abstimmung waren im Vorfeld 
die letzten Differenzen zwischen den 
beiden Parlamentskammern aus Stän- 
de- und Nationalrat ausgeräumt worden. 


Eine sogenannte „Einigungskonferenz“ 
aus den beiden Räten hatte mehrheitlich 
dafür gestimmt, dass sog. „Telefonrand- 
daten“ auch im Ausland gespeichert 
werden dürfen. Bei den Randdaten han- 
delt es sich um die Verkehrsdaten wie 
die Dauer eines Telefonats und wer mit 
wem telefoniert hat. Es geht also um die 
Vorratsdatenspeicherung von Metada- 
ten. Der Nationalrat hatte sich ursprüng- 
lich gegen das Speichern im Ausland 
und für eine Speicherung ausschließ- 
lich in der Schweiz ausgesprochen. Die 
Schweizer Justizministerin Simonetta 
Sommaruga hatte zuvor betont, dass 
das Schweizer Datenschutzgesetz auch 
dann gelte, wenn die Daten auf Servern 
im Ausland aufbewahrt würden. Eine 
Hürde war bereits zwei Wochen zuvor 
genommen worden, als sich nach dem 
Ständerat auch der Schweizer National- 
rat gegen die ursprünglich vorgesehene 
Ausweitung der Aufbewahrungsdauer 
von Vorratsdaten von sechs auf zwölf 
Monate ausgesprochen hatte. 

Grundsätzlich ging es der Regierung, 
dem Bundesrat, bei der Revision darum, 
die gesetzlich erlaubten Überwachungs- 
möglichkeiten den aktuellen techni- 
schen Möglichkeiten anzupassen. Neu 
vorgesehen ist im überarbeiteten BÜPF 
der Einsatz von technischen Überwa- 
chungsgeräten wie beispielsweise IM- 
SI-Catchern, aber auch von Abhör- und 
Richtmikrofonen. Beschlossen sind 
auch Antennensuchläufe, über die Mo- 
biltelefonbesitzerInnen und ihre Rand- 
daten identifiziert werden können und 
die bereits häufig für Ermittlungen ein- 
gesetzt wurden. Gemäß Presseberichten 
hatten die Schweizer Strafbehörden im 
Jahr 2015 die Handy-Daten von 124 An- 
tennen abgefischt. 

Neu ist der Einsatz von „Staatstro- 
janern“ oder „Government Software“, 
kurz GovWare. Strafverfolgungsbehör- 
den sollen die Trojaner in Computer 
einschleusen dürfen, um beispielswei- 
se verschlüsselte Gespräche mit Skype 
und ähnlichen VoIP-Diensten mithören 
zu können. Erlaubt sein soll nicht die 
präventive Überwachung, sondern al- 
lein die Überwachung im Rahmen von 
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Strafverfahren. Staatstrojaner sollen nur 
zur Aufklärung schwerer Straftaten ein- 
gesetzt werden. 

Der überwachungskritische Verein 
„Digitale Gesellschaft“ leitet aus dem 
Gesetz jedoch ab, dass Staatstrojaner 
auch zur Verfolgung von Bagatellde- 
likten eingesetzt werden können. Er 
kämpft mit einer Beschwerde beim 
Bundesverwaltungsgericht gegen die 
Vorratsdatenspeicherung. Diese soll ge- 
gebenenfalls bis zum Europäischen Ge- 
richtshof für Menschenrechte (EGMR) 
weitergetragen werden. Die Schweizer 
Piratenpartei hat angekündigt, ein Re- 
ferendum gegen die Änderungen in die 
Wege leiten zu wollen. Werden für ein 
solches Referendum 50.000 Stimmen 
gesammelt, könnte am Ende also das 
Stimmvolk über die Zukunft des neuen 
Überwachungsgesetzes entscheiden. Sie 
verweist darauf, dass das Gesetz den 
Quellenschutz für Ärzte, Anwälte und 
Journalisten aushebelt; der Einsatz von 
Staatstrojanern sei teuer und nutzlos 
(Sperlich, Schweizer Parlament stimmt 
Verschärfung des Überwachungsgesetz 
zu, www.heise.de 19.03.2016). 


Schweiz 


Datenschutzbeauftrag- 
ter fordert Löschung von 
Bahnpassagierdaten 


Der kommissarisch im Amt befind- 
liche Schweizer Datenschutz- und 
Öffentlichkeitsbeauftragte (EDÖB) 
Jean-Philippe Walter verlangt von den 
Schweizer Bundesbahnen (SBB) und 
dem (Branchen-)Verband öffentlicher 
Verkehr (VöV) die Daten zu löschen, die 
bei Kontrollen des „Swiss Pass“ im Zug 
gesammelt werden. Dabei handelt es 
sich um eine Kundenkarte des VöV, die 
Sommer 2015 eingeführt wurde. Ohne 
sie können bei der SBB keine Abonne- 
ments oder Fahrausweise zum halben 
Preis erworben werden. Sie dient als 
Fahrausweis. Sehr viele SBB-KundIn- 
nen nutzen sie zudem für Partnerdienst- 
leistungen wie etwa als Skipass oder für 
Programme zur Kundenbindung. 

Walter kritisierte, dass die bei den 
Fahrscheinkontrollen durchgeführten 
Datenbearbeitungen keine gesetzliche 
Grundlage haben und zudem unverhält- 
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nismäßig seien. Bei kontrollierten Pas- 
sagieren werden mit einem Lesegerät 
die Daten eines RFID-Chips auf dem 
Swiss Pass ausgelesen, online übermittelt 
und 90 Tage in einer Kontrolldatenbank 
aufbewahrt. Unter anderem werden die 
Uhrzeit, die Zugnummer und die Aus- 
weisnummer des Swiss Pass gespeichert. 
Laut dem Datenschutzbeauftragten wa- 
ren in der Datenbank Mitte Oktober 2015 
-rund zweieinhalb Monate nach der Ein- 
führung des Swiss Pass — schon 3,2 Mil- 
lionen Einträge gespeichert. 

Walter berichtet, dass in den Medien 
„vor allem die Befürchtung ausgespro- 
chen wird, dass aus den Kontrollda- 
ten Bewegungsprofile erstellt werden 
könnten.“ Bei bestimmten Personen 
könne solch ein, wenn auch nicht de- 
tailliertes, Bewegungsprofil durchaus 
entstehen. Er habe auch viele Anfragen 
besorgter BürgerInnen erhalten und 
musste oft klarstellen, dass er das Pro- 
jekt Swiss Pass weder genehmigt noch 
bewilligt habe. 

Gemäss VöV und SBB dient die Kon- 
trolldatenbank vor allem dazu, etwaige 
Kundenanliegen im Nachgang zu einer 
Reise zu beantworten. Auch die weite- 
ren von SBB und VöV vorgebrachten 
Gründe überzeugten den Datenschutz- 
beauftragten nicht, weshalb er den VöV 
und die SBB aufforderte, die Kontroll- 
daten unverzüglich zu löschen und den 
Betrieb der Datenbank einzustellen. 
Laut Medienberichten haben die SBB 
ein offenes Ohr für den EDÖB: Der 
Datenschutz sei für die SBB zentral. 
Die Empfehlung des Datenschützers 
würden ernst genommen (Sperlich, 
Schweiz: Datenschützer fordert Lö- 
schung von Passagierdaten der Schwei- 
zerischen Bundesbahnen, www.heise.de 
18.02.2016). 


Frankreich 


CNIL fordert per Bußgeld 
von Google weltweites 
Sperren von Inhalten 


Die französische Datenschutzbehörde 
CNIL hat gemäß einer Mitteilung vom 
24.03.2016 im Streit über das „Recht 
auf Vergessenwerden“ in Internet eine 
Geldstrafe von 100.000 € gegen Google 
verhängt. Europäische Datenschutzbe- 


hörden verlangen schon seit längerem, 
dass Google nach europäischem Recht 
beanstandete Suchergebnisse weltweit 
herausfiltert. Der Europäische Gerichts- 
hof hatte im Mai 2014 entschieden, dass 
Suchmaschinen Links zu bestimmten 
Inhalten aus ihren Ergebnisseiten 1ö- 
schen müssen, wenn sich eine NutzerIn 
in ihren Persönlichkeitsrechten verletzt 
sieht. Mit dem Urteil blieben aber viele 
Detailfragen offen. 

Google war der Kritik teilweise entge- 
gengekommen und hatte angekündigt, 
die fraglichen Links im Land des An- 
tragstellers auch auf nicht-europäischen 
Google-Seiten zu löschen. Werden also 
Treffer zum Beispiel auf Forderung ei- 
ner Person aus Deutschland ausgeblen- 
det, sind auch auf der bolivianischer Sei- 
te google.bo die beanstandeten Einträge 
in Deutschland nicht zu sehen — von Bo- 
livien aus oder in anderen europäischen 
Ländern aber schon. 

Dies genügt der CMIL mit Sitz in 
Paris nicht aus. Sie verweist unter an- 
derem darauf, dass Internetnutzer diese 
Geo-Blockade mit technischen Mitteln 
umgehen könnten. Google kann gegen 
die Strafe Einspruch einlegen (Recht auf 
Vergessen: Französische Datenschützer 
verhängen Geldstrafe gegen Google, 
www.heise.de 24.03.2016). 


Türkei 


Wahlregister von 2008 im 
Internet veröffentlicht 


Unbekannte haben personenbezogene 
Daten von über 49,6 Millionen türki- 
schen BürgerInnen im Netz veröffent- 
licht. Darunter befinden sich der Name, 
die Adresse, Namen der Eltern, Geburts- 
datum und -ort sowie die nationale Iden- 
tifikationsnummer (Türkiye Cumhuri- 
yeti Kimlik Numarası). Der Datensatz 
soll zuvor schon an Interessenten zum 
Kauf angeboten worden sein. Bei dem 
knapp 6,6 GB großen SQL-Dump erga- 
ben stichprobenartige Prüfungen Über- 
einstimmungen mit echten Daten türki- 
scher BürgerInnen. Allerdings scheint 
das Leak nur türkische BürgerInnen zu 
betreffen, die sich spätestens 2008 als 
Wähler registriert hatten. Mit den in der 
Datenbank enthaltenen Daten ist es nach 
Ansicht von türkischen Beobachtenden 
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möglich, Betrügereien zu Lasten der 
Opfer zu begehen. Besonders die nati- 
onale Identifikationsnummer eigne sich 
in Zusammenhang mit Geburtsdatum 
und Adresse oft, um sich als die jewei- 
lige Person auszugeben. Auch lässt sich 
die Datenbank einfach zur Adressermitt- 
lung nutzen, vorausgesetzt die Person ist 
seit 2008 nicht umgezogen. 

Vor dem öffentlichen Leak sollen die 
Daten bereits als verschlüsselte Datei 
die Runde gemacht haben und in dieser 
Form zum Kauf angeboten worden sein. 
Gegen Bezahlung habe man so mit ei- 
nem speziellen Nutzerinterface einzelne 
Anfragen entschlüsseln können. Nun 
scheint jemand die gesamte Datenbank 
geknackt zu haben oder die ursprüngli- 
chen Hacker haben genug an der Daten- 
bank verdient, um sie aus der Hand zu 
geben. Sicher scheint zu sein, dass die 
Daten aus dem Merkezi Nüfus Idaresi 
Sistemi (MERNIS) stammen, der zen- 
tralen Einwohnermelde-Datenbank der 
türkischen Regierung. 

Augenscheinlich ist die Veröffent- 
lichung politisch motiviert. Auf der 
Seite mit dem Datendump protestieren 
die Hacker gegen den türkischen Re- 
gierungschef Erdogan und haben unter 
anderem dessen persönliche Daten als 
Beispiel hervorgehoben. Es ist aber auch 
von Donald Trump die Rede; und das in 
einer Formulierung, die den Eindruck 
erweckt, die Hacker wären aus den 
USA, wobei dies auch ein Verschleie- 
rungsversuch der wahren Motive der 
Täter sein kann (Scherschel, Persönli- 
che Daten von 49 Millionen türkischen 
Wählern veröffentlicht, www.heise.de 
04.04.2016). 


USA 


FBI gegen Apple — 
Kryptokontroverse 
unentschieden 


- Der Gerichtsbeschluss 


Am 29.03.2016 teilte das US-Justiz- 
ministerium dem zuständigen US-Rich- 
ter in Kalifornien mit, dass die US-Bun- 
despolizei FBI die per Gerichtsanord- 
nung eingeforderte Unterstützung des 
IT-Unternehmens Apple für die Entsper- 
rung des Handys eines Straftäters „nicht 
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länger benötigt“. Per Gerichtsanord- 
nung hatte dieses zuvor Apple aufgefor- 
dert, FBI-Ermittlern dabei zu helfen, an 
Daten zu kommen, die auf dem iPhone 
5C von Seyd Farook gespeichert sind. 
Farook hatte am 02.12.2015 gemeinsam 
mit seiner Frau Tashfeen Malik bei ei- 
ner Weihnachtsfeier in San Bernadino 
15 Menschen getötet, bevor beide bei 
einem Schusswechsel mit der Polizei 
selbst getötet wurden. 

Zuvor hatten FBI-Experten zunächst 
erfolglos versucht, an die Daten her- 
anzukommen. Sie wollen das Attentat 
rekonstruieren und herausbekommen, 
ob die beiden Komplizen hatten. Ihr 
Problem ist eine Technologie, die Apple 
und Google 2014, als Reaktion auf die 
Snowden-Enthüllungen, eingeführt ha- 
ben: Mit iOS 8 beziehungsweise Andro- 
id 5 führten beiden Firmen eine automa- 
tische Verschlüsselung des Handyspei- 
chers ein. Diese Verschlüsselung lässt 
sich nur mit der korrekten PIN entsper- 
ren und lesbar machen. Früher ließen 
sich solche Sperren durch sogenannte 
Brute-Force-Angriffe überwinden: Man 
probierte einfach alle nur denkbaren 
Zahlenkombinationen durch, bis man 
die richtige findet. Dies funktioniert mit 
aktuellen iPhones nicht mehr. Zum einen 
blockiert eine Sperrfunktion das schnel- 
le Ausprobieren von Zahlenkombinatio- 
nen. Nach mehreren Fehlversuchen baut 
das System immer längere Pausen ein, 
sodass man schließlich mehrere Stun- 
den warten muss, um den nächsten Code 
zu versuchen. Vor allem aber gibt es in 
1OS die Option, den Speicher nach zehn 
Fehlversuchen automatisch löschen zu 
lassen. Diese Option könnte beim Han- 
dy des Attentäters aktiviert worden sein. 
Die FBI-Experten haben ihre Versuche, 
die PIN zu erraten, offenbar eingestellt, 
um nicht Gefahr zu laufen, dass eben 
das passiert und möglicherweise nütz- 
liche Daten des Täters verloren gehen. 

Gemäß der Gerichtsanordnung sollte 
Apple den Ermittlern helfen, „drei wich- 
tige Funktionen bereitzustellen“: 


1. Die automatische Löschfunktion soll- 
te deaktiviert oder umgangen werden, 
egal ob sie aktiviert ist oder nicht. 

2. Es sollte ermöglicht werden, Zahlen- 
codes digital an das Handy zu über- 
tragen, statt sie händisch auf dem 
Bildschirm eintippen zu müssen. 


3. Es sollte sichergestellt werden, dass 
zwischen den vom FBI versuchswei- 
se eingegebenen Zahlencodes keine 
Verzögerungen entstehen. 


Mit anderen Worten: Apple sollte dem 
FBI helfen, den PIN-Code des iPhone 
5C mit einem Brute-Force-Angriff zu 
knacken. Die Ermittler hatten auch kon- 
krete Vorstellungen über das Vorgehen: 
Apple sollte eine iOS-Version bereit- 
stellen, die die oben geforderten Funk- 
tionen enthält. Beim Aufspielen dieser 
Software sollte das bereits installierte 
iOS nicht verändert werden. Stattdessen 
sollte die Software im Arbeitsspeicher 
des Geräts installiert und so modifiziert 
werden, dass sie nur auf diesem einen 
Gerät lauffähig ist. Sollte der Konzern 
aber eine bessere Idee haben, wie die 
Aufgabe zu bewältigen wäre, dürfe er 
gern einen Vorschlag machen. 

Da dieses Vorgehen mit einigem Auf- 
wand verbunden gewesen wäre, wurde 
Apple in der gerichtlichen Anordnung 
aufgefordert, „angemessene Kosten“ 
zu nennen. Außerdem wurde Apple in 
Punkt 7 ermöglicht, binnen fünf Werk- 
tagen einen Antrag zu stellen, von der 
Anordnung entbunden zu werden, wenn 
es diese für „unzumutbar beschwerlich“ 
halte, was Apple dann auch tat. 


- Die Reaktion Apples 


Am 17.02.2016 veröffentlichte App- 
le-Chef Tim Cook einen offenen Brief 
an seine KundInnen. Man habe nach 
den Anschlägen von San Bernadino eng 
mit den Behörden zusammengearbeitet, 
bei den Ermittlungen geholfen und dem 
FBI alle geforderten Daten übermit- 
telt. Sogar Apple-Ingenieure habe man 
als Berater bereitgestellt. Nun verlan- 
ge die US-Regierung aber etwas, „das 
wir für zu gefährlich halten“: „Man hat 
uns aufgefordert, eine Hintertür für das 
iPhone zu bauen.“ Im Grunde sei es 
eine um wichtige Sicherheitsfunktio- 
nen bereinigte iOS-Version, die sich die 
Ermittler wünschen. „In den falschen 
Händen könnte diese Software — die es 
bis heute nicht gibt — potenziell jedes 
iPhone entschlüsseln.“ Eine Garantie, 
dass eine solche Software nur in die- 
sem einen Fall genutzt würde, könne 
man nicht geben. Was das FBI fordere, 
„würde genau die Rechte und die Frei- 
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heit unterminieren, welche die Regie- 
rung beschützen soll“. 

Letztlich werde Apple aufgefordert, 
seine eigenen NutzerInnen zu hacken, 
seine eigenen Sicherheitsvorkehrungen 
zu schwächen und iPhone-Anwenderln- 
nen hohen Risiken auszusetzen. Wür- 
de Apple tatsächlich dazu gezwungen, 
könnte die Regierung diese Schwäche 
ausnutzen, um „Ihre Nachrichten, Ge- 
sundheitsdaten und Finanzdaten ab- 
zufangen, Ihren Aufenthaltsort festzu- 
stellen oder sogar die Kamera und das 
Mikrofon Ihres iPhones unbemerkt zu 
aktivieren“. Apple meinte zudem, ein 
Gericht in Kalifornien sei nicht der rich- 
tige Ort, um den Konflikt um die Ver- 
schlüsselung zu lösen und kündigte an, 
sich an den Kongress in Washington zu 
wenden. 

Apples Position wurde von mehr als 
30 Internet-Unternehmen, u. a. von 
Facebook, Google, Microsoft, Ama- 
zon, Ebay und Intel in einem Brief an 
das Gericht unterstützt. Sie verwiesen 
darauf, dass auch weniger demokrati- 
sche Staaten das Knacken von Geräten 
verlangen könnten. Zudem könne der 
Vorgang ein juristischer Präzedenzfall 
sein, generell zum Einbau von Überwa- 
chungstechnik oder Hintertüren in ihre 
Geräte oder Software gezwungen zu 
werden. Unterstützung für Apple kam 
zudem von Yahoo, AT&T, Cisco, Box, 
Dropbox, Snapchat, Pinterest, Mozilla 
und Whatsapp. US-Staatsanwälte hatten 
schon signalisiert, dass sie viele, nicht 
nur von Terroristen stammende Handys, 
von Apple geöffnet bekommen wollen. 
In die Diskussion schaltete sich auch 
der UN-Hochkommissar für Menschen- 
rechte Said Raad al-Hussein ein. Die 
US-Regierung riskiere, dass die „Büch- 
se der Pandorra“ geöffnet werde: „Ich 
ersuche alle Betroffenen, nicht nur auf 
den unmittelbaren Wert, sondern auch 
auf die potenziell größere Auswirkung 
zu achten.“ 

Unterstützung kam auch von der 
US-Bürgerrechtsorganisation Elect- 
ronic Frontier Foundation (EFF): „Si- 
chere Software zu schreiben ist im- 
mer schwierig“. Dies gelte vor allem 
für ein tief ins System eingreifendes 
Programm, das eng mit der Hardware 
interagiere. Bevor Apple eine solche 
Software signieren und freigeben kön- 
ne, müsste der Konzern auch „strenge 
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Tests“ durchführen. Die EFF verglich 
die Anordnung mit einer Aufforderung 
an einen Autobauer, „einen neuen Lkw 
mit einem fünften Rad binnen eines 
Monats zu fertigen“. Theoretisch wäre 
dies sicher möglich, würde aber viel 
Zeit und Geld verschlingen. Letztlich 
habe es sich in der Vergangenheit aber 
auch immer als „Sicherheitsalbtraum“ 
herausgestellt, Backdoors zu bauen und 
Verschlüsselung zu umgehen, wie es 
das Gericht und die Regierung wünsch- 
ten. Es sei auch davon auszugehen, 
dass das Crack-Programm nicht nur 
in dem einen Fall angewendet würde. 
Vielmehr sei das Drängen der Sicher- 
heitsbehörden vorprogrammiert, die 
Software auf andere Geräte anzupassen 
und die Amtshilfe deutlich auszuwei- 
ten. 


- Die Begehrlichkeiten der „Intelli- 
gence Community“ 


Apple legte es also auf eine Konfron- 
tation mit der Regierung an und hoffte 
darauf, die öffentliche Meinung für sich 
gewinnen und die Regierung zu einer 
Umkehr bewegen zu können. Dass das 
FBI gerade zu diesem Zeitpunkt mit 
einer derartigen Forderung an Apple 
herantrat, war wohl kein Zufall. Die 
Behörde wollte offenbar die öffentliche 
Stimmung im Nachgang des Anschlags 
von San Bernardino ausnutzen. Gemäß 
Presseberichten soll Apple darum gebe- 
ten haben, die FBI-Anfrage nicht öffent- 
lich zu stellen, so wie dies üblich ist. Im 
März 2016 liefen demnach in den USA 
neun Prozesse, bei denen es um das Ent- 
sperren von zwölf Apple-Geräten ging. 
Doch machte das FBI den San-Bernadi- 
no-Fall öffentlich und provozierte damit 
die deutliche Antwort von Apple-Chef 
Tim Cook. 

Schon im August 2015 wurde von der 
Presse ein Schreiben von Robert Litt zi- 
tiert, der für das Büro des US-Geheim- 
dienstdirektors arbeitet, worin er er- 
klärt, dass das „legislative Umfeld‘ für 
Anti-Verschlüsselungs-Gesetzgebung 
derzeit zwar „sehr feindselig‘ sei, dass 
sich das aber „im Fall eines Terroran- 
schlags oder eines Verbrechens ändern 
könnte, wenn dabei nachgewiesen wer- 
den kann, dass starke Verschlüsselung 
die Strafverfolger behindert hat“. 

Das Vorgehen des FBI war offen- 


bar mit den übrigen Mitgliedern der 
„Intelligence Community“ — also der 
Gesamtheit der US-Geheimdienste — 
abgesprochen. So gab CIA-Chef John 
Brennan der US-TV-Sendung ‚60 
Minutes“ eines seiner seltenen Inter- 
views, in dem er behauptete, man habe 
„lage vor“ den Anschlägen von Paris 
im November 2015 erfahren, dass der 
„Islamische Staat“ „eine Aktion durch- 
zuführen versuchte“. Die beteiligten 
Personen hätten jedoch „von neuen 
Kommunikationsmitteln Gebrauch 
machen können“, die „den Strafverfol- 
gungsbeamten verschlossen sind“. Auf 
Nachfrage präzisierte Brennan: Ja, er 
spreche von Verschlüsselung. Belege 
blieb er in beiden Fällen schuldig. Tat- 
sächlich konnte die Polizei die Attentä- 
ter damals offenbar abhören. Außerdem 
hatten die Ermittler anscheinend ohne 
Probleme ein Handy ausgewertet, das 
die Täter benutzt hatten. 

In einer Replik auf den Einspruch 
von Apple erklärten die US-Justizver- 
treter, die Unterstützung durch Apple 
gegenüber dem FBI, „bedeutet nicht 
das Ende der Privatheit“. Dass sich der 
IT-Konzern aus Cupertino dem Begehr 
entgegenstelle, beruhe scheinbar „auf 
seiner Sorge um sein Geschäftsmodell 
und seiner öffentlichen Marketingstra- 
tegie“. Apple habe „zu keinem Zeit- 
punkt gesagt, dass es nicht die techni- 
schen Fähigkeiten habe, der Weisung 
Folge zu leisten“. Bereits Anfang März 
2016 schaltete sich der frühere NSA- 
Mitarbeiter und Whistleblower Edward 
Snowden in die Debatte ein und erklärte 
die FBI-Behauptung, ohne Apples Hilfe 
keinen Zugriff auf das Gerät bekommen 
zu können, für „Bullshit“. 


- Hilfe von Cellebrite? 


Am 23.03.2016 berichteten Medi- 
en, dass das FBI zur Entsperrung des 
Handys des erschossenen Attentäters 
von San Bernardino die Hilfe der isra- 
elischen Firma Cellebrite in Anspruch 
nimmt. Die US-Bundespolizei hatte 
eine für für den Tag zuvor anberaumte 
Anhörung kurzfristig abgesagt, da eine 
„außenstehende Partei“ dem FBI eine 
„mögliche Methode“ zum Entsperren 
des Gerätes präsentiert habe. Cellebri- 
te hat eine Technik namens Universal 
Forensic Extraction Device (UFED) 
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entwickelt, mit der Datenextraktion 
aus Mobilgeräten möglich sein soll, 
und bietet die eigenen Dienstleistun- 
gen Strafverfolgungsbehörden weltweit 
an. Nach eigenen Angaben besitzt die 
Firma die Fähigkeit, bestimmte iPho- 
nes und iPads mit iOS 8 zu entsperren 
— „ohne Hardware-Eingriff und dem Ri- 
siko einer Datenlöschung“. Möglich ist 
dies angeblich nur bei älteren Geräten, 
darunter fällt aber auch das iPhone 5c 
aus San Bernardino, auf dessen Daten 
das FBI zugreifen will. Demnach hat 
die Firma inzwischen auch eine Metho- 
de gefunden, i0S 9 — zumindest auf äl- 
terer Hardware — zu entsperren. Deren 
Einsatz war, so die Nachricht des US- 
Justizministerium vom 29.03.2016, an- 
geblich erfolgreich. 

Cellebrite gehört seit 2007 zum japa- 
nischen Elektronikkonzern Sun Corpo- 
ration. Das Unternehmen wirbt damit, 
„15.000 Nutzer in Strafverfolgung und 
Militär“ zu haben. So ist nachvollzieh- 
bar, dass das Unternehmen der kroati- 
schen Regierung Technik bereitstellte, 
um Kinderpornos auf sichergestellten 
Geräten zu finden. Auch die sächsische 
Polizei setzt Produkte von Cellebrite ein, 
um die 150 Handys, Laptops und Spei- 
cherkarten zu analysieren, die sie 2015 
in einer umstrittenen Aktion auf einer 
linken Demonstration beschlagnahmt 
hatte. Das bayerische Landeskriminal- 
amt kaufte Sommer 2015 14 UFED-Li- 
zenzen von der Firma für 377.000 € incl. 
Wartung. Die deutsche Niederlassung 
von Cellebrite ist jüngst von Paderborn 
nach München umgezogen. 

Später wurde in der Presse mitgeteilt, 
das FBI habe eine bei Hackern gekaufte 
Schwachstelle ausgenutzt, um das iPho- 
ne zu knacken. Es sei eine bisher unbe- 
kannte Sicherheitslücke gewesen, wel- 
che die Ermittler für eine Einmalzah- 
lung mitgeteilt bekommen hätten. Die 
Dienste der Firma Cellebrite seien also 
nicht benötigt worden. FBI-Chef James 
Comey wurde zitiert, das bei dem iPho- 
ne Sc eingesetzte Verfahren funktioniere 
nicht bei neueren Modellen und auch 
nicht beim technisch etwas anspruchs- 
volleren iPhone 5s. Die Behörden hätten 
noch nicht entschieden, ob Apple über 
die Hacking-Methode unterrichtet wer- 
den soll, was dem Konzern die Möglich- 
keit geben würde, die Schwachstelle zu 
schließen. 
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- Offenlegungspflicht der Ermitt- 
lungsbehörden? 


Diskutiert wird nun, ob das FBI sei- 
nen erfolgreichen Zugriff auf die Daten 
des iPhones und die dabei eingesetzte 
Methode gegenüber Apple offenlegen 
muss: Liegt eine Sicherheitslücke zu- 
grunde, müsste diese möglicherweise 
von einem Gremium der US-Regierung 
geprüft werden. Es entscheidet, ob sol- 
che Schwachstellen geheimgehalten und 
von den Behörden ausgenutzt werden 
können — oder zur Sicherheit der Nutzer 
die betroffenen Anbieter informiert wer- 
den sollten. 

Ein früherer Vize-Chef des Abhör- 
dienstes NSA erklärte gegenüber der 
Presse, die FBI-Methode sollte aus 
seiner Sicht diesem „Equities Review“ 
unterworfen werden. Ein früherer rang- 
hoher FBI-Experte für Cybersicherheit 
betonte jedoch, die Behörden seien nicht 
verpflichtet, Schwachstellen offenzu- 
legen, wenn sie nicht weithin bekannt 
sowie nicht einfach zu missbrauchen 
seien. Gemäß Presseberichten hatte die 
Regierung bisher den Großteil der er- 
kannten Sicherheitslücken offengelegt. 
So seien in einem Jahr nur etwa zwei 
von rund Hundert überprüften Schwach- 
stellen zurückgehalten worden. 

Sicherheitsforscher wie Jonathan Zd- 
ziarski spekulieren, dass für den Brute- 
Force-Angriff auf die iOS-Codesperre 
respektive PIN zur Spiegelung des 
NAND-Chips (NAND mirroring) ge- 
griffen wurde. Dabei werden die ver- 
schlüsselten Daten des Flash-Speichers 
auf unterster Ebene dupliziert. Werden 
die Daten dann nach dem Durchprobie- 
ren mehrerer falscher PIN-Kombinati- 
onen automatisch gelöscht, könne man 
die Kopie wieder auf dem Original-Chip 
einspielen und das Prozedere von vor- 
ne beginnen. Auch sei denkbar, nur den 
Teil des Chips zu kopieren, auf dem die 
PIN-Eingabe-Versuche gespeichert wer- 
den. Nach mehreren erfolglosen Durch- 
gängen könne dann die Originalversion 
wieder eingespielt und können die Ver- 
suche fortgesetzt werden (Kremp, iPho- 
ne-Entschlüsselung: Apple widersetzt 
sich FBI-Forderung, www.spiegel.de 
17.02.2016; Martin-Jung, Code der Frei- 
heit, SZ 18.02.2016, 1; Krempl, iPhone- 
Entsperrung: US-Justizministerium tut 
Apples Datenschutzkurs als Marketing 


ab, www.heise.de 20.02.2016; Apple 
will Kongress anrufen, SZ 22.02.2016, 
19; Wir sind Apple, SZ 05./06.03.2016, 
24; Boie, FBI will iPhone alleine kna- 
cken, SZ 23.03.2016, 7; Becker, Terro- 
risten-iPhone: Israelische Firma hilft 
FBI angeblich beim Entsperren, www. 
heise.de 23.03.2016; Brühl, Codekna- 
cker gegen Apple, SZ 24./25.03.2016, 
25; Martin-Jung, Apple trotzt dem FBI, 
SZ 30.03.2016, 1; Hacker helfen FBI, 
SZ 14.04.2016, 9). 
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Entschlüsselung von 
Smartphones bei FBl 
Routine 


Die Ermittler des US-amerikanischen 
Justizministeriums verlangen nicht nur 
von Apple (siehe oben) Hilfe beim Ent- 
schlüsseln von Smartphones. Die Bür- 
gerrechtsorganisation American Civil 
Liberty Union (ACLU) legte offen, dass 
das FBI auch Google dazu bringen will 
bzw. wollte, Zugang zu verschlüsselten 
Geräten zu erlangen. Nachdem bekannt 
geworden ist, dass Apple mindestens 
70 Anordnungen nachgekommen ist, 
iPhones zu knacken, hat sich ACLU 
auf der Suche nach den Fällen gemacht 
und bisher in 22 US-Bundesstaaten 63 
gefunden, bei denen die Ermittler seit 
dem Jahr 2008 nach dem All Writs Act 
von 1789 mit Hilfe des Anbieters auf 
verschlüsselte Daten zugreifen wollten. 
In mindestens neun Fällen war Google 
involviert. Dabei ging es hauptsächlich 
um Ermittlungen wegen Drogenverge- 
hen. 

Zu den 63 bestätigten Gerichtsver- 
fahren kommen 13 weitere Fälle, die 
ACLU zu Gehör gekommen sind; 12 
davon habe Apple erwähnt, allerdings 
seien deren Aktenzeichen nicht bekannt; 
in einem weiteren Fall gebe es zu wenig 
öffentliche Informationen. Die Bürger- 
rechtler kritisieren das FBI dafür, ange- 
geben zu haben, den All Writs Act nur 
in besonderen Verfahren anzuwenden. 
Es habe sich gezeigt, dass dies fast zur 
Gewohnheit geworden sei. Die ACLU 
will ihre Recherchen fortsetzen (Wil- 
kens, Auch Google soll dem FBI helfen, 
Smartphones zu knacken, www.heise.de 
30.03.2016). 
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USA 


New York etabliert 
WLAN-Netz ohne 
Datenschutz 


New York will alle Einwohnerln- 
nen und BesucherInnen der Stadt mit 
einem kostenloses Drahtlos-Netzwerk 
mit 10.000 WLAN-Säulen in Höchst- 
geschwindigkeit beglücken. Die Ma- 
cher schwärmen schon jetzt von der 
„Telefonzelle von morgen.“ Die Ein- 
richtung soll stadtweit in den nächsten 
acht Jahren erfolgen. Einheimische 
wie TouristInnen sollen sich mit ihrem 
Smartphone oder Tablet im Umfeld 
von 45 Metern zur Säule umsonst in 
das WLAN einloggen können; teils 
reicht das Signal bis zu 120 Meter 
weit. An USB-Anschlüsse zum Auf- 
laden von Akkus wurde auch gedacht. 
Nicht nur für TouristInnen, die sich 
bei ihrem digitalen Stadtrundgang von 
Cafe zu Cafe hangeln müssen, um den 
Weg zum Museum oder Restaurant 
nachzuschlagen, soll den Service zu- 
gute kommen, sondern vor allem den 
New YorkerInnen selbst, die ihr Mo- 
bilgerät oft kaum aus der Hand legen 
und dauerhaft online zu sein scheinen: 
Mehr als ein Viertel aller Haushalte in 
der schnelllebigen Millionenmetropo- 
le haben laut einer Studie von Ende 
2014 zu Hause keinen Zugang zum 
Breitband-Internet. 

Selbst wer kein Smartphone hat, kann 
in New York an den drei Meter hohen 
Säulen über ein integriertes Display 
umsonst surfen, in einem Kartendienst 
nach dem Weg suchen oder umsonst 
innerhalb der USA telefonieren — per 
Lautsprecher oder dank Kopfhörer- 
Eingang auch mit Headset. Und: Wer 
auf den roten Knopf drückt, wird um- 
gehend mit der Notrufzentrale verbun- 
den. Die ersten Säulen in Manhattan 
laufen bereits, andere Stadtteile sollen 
folgen. 500 Stück sollen Sommer 2016 
in Betrieb sein, mehr als 250 Geräte 
können einen Kiosk jeweils gleichzei- 
tig nutzen. 

Für DatenschützerInnen ist das kos- 
tenlose WLAN-Netz dagegen alles 
andere als eine Freude. Die zum Lo- 
gin notwendigen E-Mail-Adressen 
der UserInnen, besuchte Websites und 
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Verweildauer auf bestimmten Inhalten 
werden gemäß der New York Civil Li- 
berties Union (NYCLU) ab Login bis 
zu zwölf Monate gespeichert, wie sie 
in einem Brief an Bürgermeister Bill 
de Blasios Rechtsabteilung kritisiert. 
Da viele NutzerInnen sich täglich ein- 
loggen könnten, ließen Datenschutz- 
richtlinien sogar eine Hintertür offen, 
um die Daten letztlich auf unbestimm- 
te Zeit zu speichern: „Eine massive 
Datenbank dieser Art schafft ein un- 
angemessenes Risiko für Missbrauch 
und unerlaubten Zugang“. Die Gefahr 
besteht sowohl in möglichen Sicher- 
heitslücken wie auch im uferlosen 
Zugriff durch Regierung und Polizei, 
so NYCLU-Direktorin Donna Lieber- 
man: „Die privaten Online-Aktivitäten 
der New Yorker sollten nicht genutzt 
werden, um eine massive Datenbank 
in direkter Reichweite (der Polizei) 
NYPD zu erzeugen“. Die NutzerlIn- 
nen gäben ihre politischen Ansichten, 
religiösen Überzeugungen oder Infor- 
mationen über ihre Gesundheit und 
Familie preis. 

Durch an den Säulen integrierte Ka- 
meras und sogenannte Umweltsensoren 
entsteht der Eindruck, dass das ohnehin 
schon stark überwachte New York ei- 
nen weiteren Schritt in Richtung Big 
Brother macht. Weder die Kameras 
noch Sensoren, die etwa die Tempera- 
tur und Umgebungsgeräusche registrie- 
ren sollen, sind gemäß LinkNYC-Ma- 
nagerin Jen Hensley derzeit in Betrieb. 
Wann oder wofür genau sie eingesetzt 
werden sollen, sagt sie nicht. 

Die NYCLU fürchtet, dass diese In- 
formationen direkt an die Polizei oder 
das stadtweite System zur Terrorabwehr 
weiterfließen. Problematisch erscheint 
auch ein weiterer Aspekt: Hinter dem 
Konsortium Citybridge, das die Säulen 
mit digitalen Werbetafeln finanzieren 
will, steht unter anderem das Unterneh- 
men Intersection. Das wiederum gehört 
zu Sidewalk Labs, das seinerseits von 
einem Konzern gegründet wurde, der 
wegen seiner riesigen Datenbestände 
schon lange in der Kritik steht und der 
seinen Kartendienst gleich mit in die 
Säulen verbaut hat: die Google-Mutter- 
gesellschaft Alphabet (Schmitt-Tegge, 
Datenschützer warnen vor kostenlosem 
WLAN in New York, www.heise.de 
31.03.2016). 
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Interministerieller 
Federal Privacy Council 
gegründet 


Der US-Präsident Barack H. Obama 
hat eine Woche nach Verlautbarung zum 
EU-U.S.-Privacy-Shield Anfang Febru- 
ar 2016 eine interministerielle Arbeits- 
gruppe, den Federal Privacy Council 
(Bundes-Datenschutzrat) geschaffen. Er 
soll das Vertrauen des Volkes in die Da- 
tenverwaltung der nationalen Behörden 
stärken sowie deren Datenschutz ver- 
einheitlichen. Der Rat besteht zumin- 
dest aus den Datenschutzbeauftragten 
der Ministerien und anderer wichtiger 
Bundeseinrichtungen. In dem Anfang 
Februar 2016 erlassenen präsidentiel- 
len Dekret heißt es: „Das ordentliche 
Funktionieren der Verwaltung braucht 
das Vertrauen der Öffentlichkeit. Und 
um dieses Vertrauen zu bewahren, muss 
die Verwaltung danach streben, die 
höchsten Standards für die Sammlung, 
Verwahrung und Verwendung personen- 
bezogener Daten aufrechtzuerhalten. 
Datenschutz war ein Kern unserer De- 
mokratie von Anfang an. Und wir brau- 
chen ihn mehr als je zuvor.“ Er ordnete 
zudem die Ausarbeitung neuer Richt- 
linien und Anforderungsprofile für die 
höchsten Datenschutzbeauftragten der 
Bundeseinrichtungen an, was spätestens 
Anfang Juni 2016 erledigt sein soll. 

Der Federal Privacy Council (FPC) 
tagt unter dem Vorsitz eines hochran- 
gigen Beamten des Weißen Hauses und 
besteht aus mindestens 24 Mitgliedern. 
Darunter sind neben den höchsten Da- 
tenschutzbeauftragten der Ministerien 
etwa auch jener des Büros des Nationa- 
len Geheimdienstdirektors, der NASA 
oder der Nationalen Wissenschaftstif- 
tung. Diese Einrichtungen sollen zudem 
Strukturen für eine bessere Zusammen- 
arbeit miteinander schaffen. Der neue 
Datenschutzrat selbst soll sich mit einer 
Vielzahl anderer Räte koordinieren, zu- 
forderst dem Federal Chief Information 
Officers Council. Statt Doppelgleisig- 
keiten wünscht der Präsident fruchtbare 
Zusammenarbeit und eine „effektive, 
effiziente und einheitliche Implementie- 
rung von Datenschutzrichtlinien in der 
gesamten Bundesverwaltung.“ 
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Das Dekret nennt vier Funktionen des 
FPC: 1. Die Ausarbeitung von Empfeh- 
lungen für Datenschutzrichtlinien und 
-anforderungen, 2. die Koordination 
und das Teilen von Ideen, Best Practi- 
ces, und Zugängen zu Datenschutz und 
für die Implementierung angemessenen 
Schutzes, 3. die Evaluierung von und 
Empfehlungen für die Bedürfnisse der 
Bundesverwaltung hinsichtlich Anstel- 
lung, Ausbildung und professioneller 
Weiterbildung in Datenschutzbelangen, 
und schließlich 4. die Durchführung an- 
derer Funktionen mit Bezug zu Privat- 
sphäre (von BürgerInnen) nach Vorgabe 
des Vorsitzenden (Sokolov, US-Daten- 
schutz: Obama gründet Federal Privacy 
Council, www.heise.de 15.02.2016). 


USA 
Menschenbewertungs- 
portal „Peeple“ 


In den USA ging die App „Peeple“ 
am 07.03.2016 im Web an den Start, 
mit der NutzerInnen andere Menschen 
bewerten können. Dafür müssen sie mit 
einem Facebook-Account bei „Peeple“ 
anmelden und können dann jede belie- 
bige Person auf einer Skala von eins bis 
fünf bewerten. Dazu muss lediglich die 
Handynummer der zu bewertenden Per- 
son bekannt sein. Eine Einwilligung war 
zunächst nicht vorgesehen. Bewertete 
werden aber per SMS informiert, wenn 
ein Profil für sie eingerichtet wurde. 

Die beiden Kanadierinnen Julia Cor- 
day und Nicole McCullough laden dazu 
ein, KollegInnen, NachbarInnen, Mie- 
ter, FreundInnen zu bewerten: „Wir wol- 
len, dass der Charakter eine neue Art der 
Währung wird.“ Sie wollten mit ihrer 
App z. B. dabei helfen, gute Babysitte- 
rInnen auszuwählen. Außerdem könnten 
Freunde der eigenen Kinder auf Peeple 
online in Augenschein genommen wer- 
den. Positive Bewertungen gehen direkt 
online, negativen (zwei Sterne oder we- 
niger) wird eine Wartezeit von 48 Stun- 
den auferlegt. Gleichzeitig wird die be- 
wertete Person informiert, um evtl. Dif- 
ferenzen mit den Verantwortlichen für 
die Bewertung auszuräumen. Gelingt 
dies nicht, wird die negative Bewertung 
freigeschaltet. Negative Bewertungen 
bleiben ein Jahr lang bestehen, bevor sie 
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automatisch gelöscht werden. So hätten 
die Bewerteten die Möglichkeit, sich 
„zum Besseren zu verändern“. 

Die Macherinnen haben insgesamt 
drei Kategorien vorgesehen, in die das 
Verhältnis zu den Bewertenden einge- 
ordnet werden soll: beruflich, persönlich 
und romantisch. „Schlechtes Verhalten“ 
wie Beleidigungen werden in den Nut- 
zungsbedingungen untersagt. Rassis- 
mus, Sexismus und Schimpfwörter sind 
gemäß den Teilnahmebedingungen ver- 
boten. Nutzende können Derartiges mel- 
den. Die Betreiber entscheiden dann, ob 
die NutzerIn und ihre Bewertung ge- 
sperrt wird. Die NutzerInnen selbst ha- 
ben nur Einfluss auf Bewertungen und 
die zugehörigen Texte, die sie selbst ver- 
fasst haben. 

Die beiden Gründerinnen bezeichnen 
ihre Software als „Positivity App“. Cor- 
day meint, es gehe bei ihrer App doch 
nur darum, öffentlich nett zueinander 
zu sein: „Wir wollen beweisen, dass 
die Welt gut ist und voller Menschen, 
die dich lieben.“ Als die Macherinnen 
ihre App im November 2015 ankündig- 
ten, bildete sich umgehend eine Gruppe 
„People vs. Peeple‘“ (Menschen gegen 
Peeple), der sich bis zum Webstart schon 
mehr als 12.000 Personen bei Twitter 
anschlossen. Hacker veröffentlichten al- 
les, vom Gewicht bei der Geburt bis zu 
den Adressen, über die beiden Gründe- 
rinnen; es soll sogar Morddrohungen ge- 
geben haben. Corday reagiert wie folgt: 
„Ich habe keine Zeit für meine Kritiker.“ 
Selbst Personen, die der Idee grundsätz- 
lich aufgeschlossen gegenüber stehen, 
nahmen vom Start der App an Anstoß 
daran, dass zunächst keine Möglich- 
keit vorgesehen war, eine Bewertung 
zu untersagen. Statt von „Bewertungen“ 
spricht Peeple jetzt von „Empfehlun- 
gen“. Man müsse seinen Klarnamen an- 
geben. Peeple-Nutzende können selbst 
entscheiden, welche Kommentare über 
sie freigeschaltet werden. Alles Nega- 
tive lässt sich so verstecken. Die Grün- 
derInnen nennen dies „Reputationsma- 
nagement“. Das Recht zum Verstecken 
negativer Bewertungen soll es nur vorü- 
bergehend geben. Das Start-up plant als 
Nächstes eine Bezahl-Variante, genannt 
„Lizenz der Wahrheit‘“‘. Wer zahlt, be- 
kommt Zugang zu allen Bewertungen. 
Das Unternehmen hinter der App wurde 
schon zum Start gemäß Presseberich- 


ten auf 7,6 Mio. US-Dollar bewertet. 
Auf ihrer Homepage erklären die Ma- 
cherinnen: „Egal ob ihr unser Konzept 
mögt oder nicht; wir heißen trotzdem 
jeden willkommen, dieses Online-Dorf 
voller Liebe und Überfluss für alle zu 
erkunden“ (Werner, Pranger-Portal, SZ 
08.03.2016, 1; Holland, Peeple: Aufruhr 
um App zum Bewerten von Menschen, 
www.heise.de 01.10.2015). 


USA 


Firmen drängen Beschäf- 
tigte zu Gesundheitstests 


Arbeitgeber in den USA bedrängen 
ihre Beschäftigten zunehmend, an fir- 
meninternen Vorsorgeuntersuchungen, 
biometrischen Tests oder Gesundheits- 
kursen, etwa zur Diabetes-Bekämpfung, 
zur Blutdrucksenkung oder zum Ge- 
wichtsabbau teilzunehmen. Grund ist 
nicht eine gesteigerte Fürsorge, sondern 
der Wunsch der Betriebe, die Prämien- 
zahlungen für ihre Beschäftigten bei 
den privaten Krankenversicherungen 
zu drücken. Beschäftigte, die sich den 
Tests und Gesundheitsprogrammen ver- 
weigern, erhalten oft höhere Prämien 
auferlegt. Die Mehrkosten belaufen sich 
pro Kopf und Jahr auf mehrere Hundert, 
gelegentlich sogar auf einige Tausend 
Dollar. Nach Presseberichten haben re- 
nitente Beschäftigte sogar in Einzelfäl- 
len ihren Versicherungsschutz verloren. 

Die staatliche Antidiskriminierungs- 
behörde EEOC sieht die Praxis, Be- 
schäftigte mit finanziellen „Anreizen“ 
zur Teilnahme an Programmen zu 
drängen, kritisch. Sie befürchtet, dass 
die Unternehmen sensible Daten in die 
Hand bekommen, die Rückschlüsse auf 
potenziell teure Erkrankungen in der 
Zukunft erlauben. Diesen Beschäftigten 
könnte dann unter einem Vorwand ge- 
kündigt werden, was in den USA leich- 
ter möglich ist als z. B. in Deutschland. 
Der Versuch der EEOC, die Verhängung 
zu hoher Strafzahlungen und die Spei- 
cherung sehr sensibler Daten gerichtlich 
zu unterbinden, ist immer wieder erfolg- 
los. So wies jüngst eine Bezirksrichterin 
in Wisconsin eine Klage gegen den Plas- 
tikproduktehersteller Flambeau mit der 
Begründung zurück, den Teilnehmenden 
an den Vorsorgeuntersuchungen drohe 
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kein Nachteil, weil ihr Arbeitgeber die 
Gesundheitsdaten der Beschäftigten nur 
anonymisiert speichere. Viele Betroffe- 
ne sehen aber ihre Datenschutzrechte in 
Gefahr. Sie fürchten, dass die Betriebe 
sehr wohl auf individuelle Cholesterin-, 
Blutdruck- oder Zuckerwerte zurück- 
greifen können, um unliebsame oder po- 
tenziell teure Beschäftigte loszuwerden. 
So wird von Unternehmen z. B. regist- 
riert, wer raucht. 

In Deutschland wäre ein solches 
Verhalten nicht möglich, da nicht der 
Arbeitgeber Vertragspartner der Kran- 
kenversicherung ist, sondern der Ar- 
beitnehmer. Der Arbeitgeber hat i. d. R. 
keinen Zugriff auf Gesundheitsdaten der 
Beschäftigten. In den USA sind gut 80% 
der Beschäftigten sowie deren Familien 
über sog. Gruppenversicherungen ab- 
gesichert. Die Kosten werden entweder 
vom Unternehmen allein oder von bei- 
den Beteiligten gemeinsam getragen. 
Nach Angaben des Amts für Arbeitssta- 
tistik hatten bei der letzten Erhebung im 
Jahr 2014 ca. 69% der in der Privatwirt- 
schaft Beschäftigten Anspruch auf einen 
Zuschuss zur Krankenversicherung. Im 
Durchschnitt übernahm der Arbeitge- 
ber dabei 79% des Beitrags, so dass den 
Beschäftigten 21% blieben. Im öffentli- 
chen Dienst ist die Zahl der Anspruchs- 
berechtigten höher. Die EEOC plant 
im Frühjahr 2016 neue Richtlinien um 
sicherzustellen, dass Arbeitgeber Be- 
schäftigte nicht zur Teilnahme an Vor- 
sorgeuntersuchungen zwingen und die 
Gesundheitsdaten der Mitarbeitenden 
nicht zu deren Nachteil instrumentali- 
sieren können (Hulverschmidt, Sensible 
Daten für den Chef, SZ 02.02.2016, 22). 


USA 


Hacking auf Gesund- 
heitsdaten steigt massiv 


Gemäß einer Studie des Ponemon 
Institutes waren 2014 Hacker-Attacken 
erstmals mit 45% der wichtigste Grund 
für Datenlecks im Gesundheitsbereich. 
Derartige Angriffe haben demnach seit 
2010 um 125% zugenommen und somit 
andere Gründe für Datenverluste wie die 
Schlampigkeit von Mitarbeitern oder 
Diebstahl von Computern überflügelt. 
Bislang waren medizinische Daten vor 
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allem durch Schlampigkeit wie verlore- 
ne Computer nach außen gedrungen. Im 
Jahr 2014 hatten 91% der befragten Or- 
ganisationen im US-Gesundheitsbereich 
zumindest ein Datenleck zu beklagen. 
Medizinische Daten sind nicht nur kri- 
tisch, sondern für Cyberkriminelle auch 
viel wert. Seit der großen Gesundheits- 
reform von 2010 müssen in den USA die 
Daten von Krankenversicherten elektro- 
nisch gespeichert werden. 

Eine Krankenakte soll laut Experten 
60 bis 70 Dollar wert sein. Eine US-Sozi- 
alversicherungsnummer allein dagegen 
bringt auf dem Schwarzmarkt allenfalls 
einen Dollar. Unternehmen und Organi- 
sationen im Gesundheitsbereich waren 
bisher offenbar nicht gut auf Cyber-Be- 
drohungen vorbereitet. Larry Ponemon, 
Gründer und CEO des Ponemon Institu- 
tes meinte bei Vorstellung der Studie im 
Mai 2015: „Es gibt einige Ausnahmen, 
aber im Allgemeinen fehlen Health- 
care-Anbietern entweder die Ressour- 
cen, das Personal oder die technischen 
Neuerungen, um der sich wandelnden 
Cyberbedrohungs-Landschaft zu begeg- 
nen.“ Ann Patterson von der Verbrau- 
cherschutzorganisation Medical Identity 
Fraud Alliance begründete den Hype 
der Hacker: „Der Raub medizinischer 
Identitäten bringt Kriminellen heute er- 
heblich mehr Geld ein als etwa der Klau 
von Bankdaten.“ Während sich Scheck- 
oder Kreditkarten bei einem Betrugs- 
verdacht rasch sperren lassen, fällt der 
Diebstahl einer medizinischen Identität 
oft monatelang nicht auf. In dieser Zeit 
ordern die Diebe in großem Stil rezept- 
pflichtige Medikamente, die sie dann 
weiterveräußern, etwa an Drogensüch- 
tige. Oder sie verkaufen die Identitäten 
an Kranke, die sich keine Versicherung 
leisten können. Wieder andere rechnen 
Leistungen ab, die niemand erhalten hat, 
oder erschwindeln staatliche Zuschüs- 
se. Durch die Vermischung von echten 
und gefälschten Daten gelten Betroffe- 
ne plötzlich als Drogenabhängige oder 
Raucher. Es kann zu Fehldiagnosen, Be- 
handlungsfehlern oder anderen gravie- 
renden Gesundheitsrisiken kommen, so 
Steve Weisgerber, Jura-Professor an der 
Bentley-University in Massachussetts: 
„im schlimmsten Fall erhält jemand bei 
einem Unfall eine Bluttransfusion der 
falschen Blutgruppe, weil seine Daten 
geändert wurden.“ Ähnlich Rick Kam, 


Gründer des Studien-Sponsors ID Ex- 
perts: „Medizinischer Identitätsdieb- 
stahl ist 100 Mal schlimmer als Finanz- 
Identitätsdiebstahl‘“. Wenn ein Betrüger 
die medizinische Identität eines Opfers 
für eine Operation nutzt, könne die 
Krankenakte danach dessen Blutgruppe 
oder Medikamentenunverträglichkeiten 
auflisten statt jene des Opfers. 

Neun von zehn Organisationen hatten 
laut „Fifth Annual Benchmark Study on 
Privacy & Security of Healthcare Data“ 
2014 zumindest einen Vorfall, 40% so- 
gar fünf oder mehr. Diese Datenlecks 
kosteten die Branche sechs Mrd. Dollar 
pro Jahr. Dazu kommen noch die Risi- 
ken für die Opfer, derer es laut der Stu- 
die 2014 bereits 2,3 Mio. gab. Erfährt die 
betroffene Person von dem Diebstahl, 
etwa bei der Quartalsmitteilung des Ver- 
sicherers, hat sie oft größte Mühe, die 
korrekten und die fälschlich unter dem 
eigenen Namen abgerechneten Posten 
voneinander zu trennen. In 2/3 aller Fäl- 
le bleibt sie auf einem Teil des Schadens 
sitzen, was laut Ponemon Institute im 
Schnitt immerhin 13.500 Dollar waren 
(Pichler, Patientendaten: Hacker-Klau 
toppt Schlampigkeit, www.pressetext. 
com 08.05.2015; Hulverschmidt, Plötz- 
lich drogensüchtig, SZ 25.02.2016, 1). 


Ägypten 


Überwachungs-Soft- und 
-Hardware von Hacking 
Team und Nokia 


Die Menschenrechtsorganisation Pri- 
vacy International (PI) berichtet, dass 
die italienische Firma Hacking Team 
im Jahre 2015 Überwachungssoftware 
nach Ägypten geliefert hat. Nokia wird 
in dem Bericht vorgeworfen, im Jahre 
2011 ein Netzwerk für die Regierungs- 
kommunikation in Krisenzeiten gelie- 
fert zu haben (vgl. DANA 4/2015, 182 
ff.). Während Nokia die Darstellung be- 
streitet, rechtfertigte bei Hacking Team 
der Pressesprecher Eric Rabe den Deal: 
Ägypten sei ein Land, dem Europa auch 
Kampfflugzeuge verkaufe. 

Laut dem 20-seitigen Bericht von PI 
gibt es in Ägypten ein Technical Re- 
search Department (TRD), das von ei- 
ner Frau mit dem Decknamen „Layla“ 
geleitet wird und dem Inlands-Geheim- 
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dienst Al-Mukhabarat Al-Amm zuarbei- 
tet. Das TRD soll demnach eng mit zwei 
deutsch-ägyptischen Firmen namens 
Egyptian German Telecommunications 
Industries (EGTI) und Advanced Ger- 
man Technology (AGT) zusammenge- 
arbeitet haben, die bis ins Jahr 2015 hin- 
ein Software und Hardware zur Überwa- 
chung der Opposition importiert haben 
sollen. Außerdem hätte das TRD im Jah- 
re 2011 über EGTI, einem Joint Venture 
zwischen der damaligen Nokia Siemens 
Network und einer ägyptischen Staats- 
holding, Netzwerktechnik eingekauft, 
um die Regierungskommunikation un- 
abhängig vom öffentlichen Telefonnetz 
sicherzustellen, heißt es in dem Bericht. 

In einem Brief an Privacy Internatio- 
nal bestätigt Nokia zwar die Lieferung 
von Komponenten, beruft sich aber auf 
einen „geerbten‘“ Ausrüstungsvertrag, 
den Siemens im Jahre 2007 mit der 
damaligen Regierung Mubarak abge- 
schlossen habe. Nach der Erfüllung die- 
ses Vertrages habe man keine weiteren 
Geschäftsbeziehungen nach Ägypten 
mehr unterhalten. Bezüglich der Soft- 
ware von Hacking Team verteidigte 
Firmensprecher Eric Rabe den Verkauf 
im Werte von knapp einer Million Euro: 
„Es ist vollkommen legal, Software nach 
Ägypten auszuführen. Ägypten ist ein 
Alliierter der USA, von vielen europä- 
ischen Ländern und sogar von Israel. ... 
Der Einsatz von Überwachungssoftware 
ist für uns alle im Kampf gegen den Ter- 
ror wichtig“ (Borchert, Überwachungs- 
Software für Ägypten, www.heise.de 
27.02.2016). 


Kuweit 


DNA-Identifikation zur 
„lerrorbekämpfung“ für 
alle 


Im Rahmen eines neuen Anti-Terror- 
Gesetzes verabschiedete das kuwaitische 
Parlament im Juli 2015 ein weltweit ein- 
maliges Gesetz mit der Nr. 78/2015, das 
alle 1,3 Mio. BürgerInnen und 2,9 Mio. 
BewohnerInnen verpflichtet, ihre DNA 
in eine nationale Datenbank eintragen 
zu lassen. Die Datenbank soll noch im 
Jahr 2016 realisiert werden und auch 
BesucherlInnen erfassen. Bei Weigerung 
drohen ein Jahr Haft und eine Strafe von 
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fast 30.000 Euro. Gibt jemand eine fal- 
sche Probe ab, drohen sieben Jahre Haft. 
Das Gesetz war nach einem Anschlag 
auf eine schiitische Moschee verab- 
schiedet worden, bei dem 26 Menschen 
getötet und 227 weitere verletzt wurden. 
Ein Parlamentsabgeordneter erläuterte, 
man sei „zu fast allem bereit, was die 
Sicherheit in diesem Land verbessert“. 

Beamte des Innenministeriums erklär- 
ten, wieso die Datenbank keinen Angriff 
auf die Freiheit und Privatsphäre der 
Person darstelle. Kuwait ziehe lediglich 
gleich mit Staaten wie Großbritannien 
und den USA, die seit den 90er Jahren 
DNA-Proben für strafrechtliche Ermitt- 
lungen nutzen. Die Proben sollen durch 
mobile und stationäre Center gesammelt 
werden, die sich an staatlichen Einrich- 
tungen und Büros befinden sollen. Dies 
ermögliche, „während diverser Erledi- 
gungen Proben abzugeben“. Bei Ein- 
wohnerInnen, die keine Staatsbürger- 
schaft besitzen, sollen die DNA-Proben 
bei der Ausgabe oder Erneuerung ihres 
Visums gesammelt werden. Für Besu- 
cherInnen soll es im Flughafen Kuwait 
ein spezielles Center geben, in dem sie 
„zu ihren Rechten und Pflichten bezüg- 
lich des DNA-Gesetzes beraten wer- 
den“. Dessen ungeachtet wird betont, 
dass für alle drei Gruppen die Abgabe 
von DNA-Proben verpflichtend ist. 

Da Datenschutz „zweifellos das 
Hauptanliegen‘“ des Innenministeriums 


sei, wurde in dem Gesetz geregelt, dass 
die Herausgabe von Informationen aus 
der DNA-Datenbank mit bis zu drei 
Jahren Haft geahndet werden soll, die 
Beschädigung der Datenbank mit min- 
destens drei, maximal zehn Jahren Haft. 
Es gebe strenge Auflagen für die Beam- 
tInnen, die mit den Proben hantieren, 
sowie einen speziellen Mechanismus 
zur Erschwerung der Zuordnung von 
Proben zu ihren Quellen. Zudem gehe es 
nur um die nicht-codierenden Bereiche 
der DNA, die keine Rückschlüsse etwa 
auf eventuelle Krankheiten zulassen, 
und auch für Fragen der Abstammung 
soll die Datenbank nicht genutzt werden 
— dies „sichere das Gesetz“. 

Sarah Leah Whitson von Human 
Rights Watch reagierte mit dem Hin- 
weis, viele Maßnahmen könnten poten- 
ziell nützlich gegen Terrorangriffe sein, 
aber ein potenzieller Nutzen sei keine 
ausreichende Rechtfertigung für mas- 
sive Menschenrechtsverletzungen. Der 
Europäische Gerichtshof für Menschen- 
rechte hatte 2008 entschieden, dass die 
Speicherung von DNA-Proben von Ver- 
dächtigen, die nicht verurteilt wurden, 
gegen Artikel 8 der Europäischen Men- 
schenrechtskonvention verstößt (Jonjic, 
Kuwait errichtet DNA-Datenbank aller 
Einwohner, in Kalifornien wird „gene- 
tisch diskriminiert, www.netzpolitik.org 
05.02.2016; Kuweit verlangt DNA-Test, 
SZ 28.04.2016, 42). 


Tel to LEN Tel alaleiail=Ya 


Smartphone-Sensorik 
dient der Forschung , z.B. 
zur Erdbebendetektion 


Forschende der University of Cali- 
fornia in Berkeley/USA planen, Mo- 
biltelefone zu einem Netzwerk zu ver- 
knüpfen, um Erdbeben zu erkennen und 
die betroffenen Menschen frühzeitig zu 
warnen. Zusammen mit der Deutschen 
Telekom brachte das Berkeley Seismo- 


logical Laboratory die App „MyShake“ 
auf den Markt, die auf den Beschleuni- 
gungssensor von Smartphones zugreift. 
Sobald der eine Erschütterung feststellt, 
die für Erdbeben typisch ist, schickt das 
Gerät die Daten an einen Server in Ka- 
lifornien. Wenn 60% der mit MyShake 
ausgestatteten Smartphones im Umkreis 
von 10 km ebenfalls Alarm schlagen, 
vermutet das System ein Erdbeben und 
errechnet die Stärke. Wenn die laufenden 
Tests erfolgreich sind, soll tatsächlich 
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ein Alarm ausgelöst und an alle Telefone 
geschickt werden. Die App macht sich 
zunutze, das Smartphones Erdbeben ab 
einer Magnitude von 5 im Umkreis von 
10 km registrieren. Neuere Modelle sind 
noch genauer. Die App ist in der Lage, 
Erdbeben von anderen Erschütterungen 
zu unterscheiden. Bei den Labortests mit 
Beispielsdaten erkannten die Geräte 2% 
der Erdbeben fälschlicherweise nicht. 
Umgekehrt waren 7% der Meldungen 
falscher Alarm. Je mehr Geräte in ei- 
nem Gebiet mit der App arbeiten, umso 
seltener werden jedoch Fehler und umso 
genauer können Stärke und Epizentrum 
bestimmt werden. 

Schon nach wenigen Tagen hatte My- 
shake Zehntausende Nutzende auf allen 
Kontinenten. Der Geophysiker Joachim 
Ritter vom Karlsruher Institut für Tech- 
nologie meinte: „MyShake ist ein in- 
teressanter und Erfolg versprechender 
Ansatz“. Smartphones gebe es auch in 
Ländern, in denen kaum Echtzeit-Seis- 
mometer vorhanden sind, z. B. in Nepal, 
das 2015 von einem Beben der Stärke 
7,8 betroffen war, oder Haiti, wo im Jahr 
2010 Zehntausende Menschen in einem 
Beben der Stärke 7,0 ihr Leben verloren. 
Der Geophysiker Wolfgang Friedrich 
von der Ruhr-Uni Bochum kann sich 
vorstellen, mit den Handy-Daten „Shake 
Maps“ zu erzeugen, die die räumliche 
Verteilung der Bodenbewegungen dar- 
stellen: „Solche Karten könnten helfen, 
Rettungskräfte gezielt in die Gebiete 
größter Zerstörung zu leiten.“ 

Der von MyShake genutzte Beschleu- 
nigungssensor ist in den meisten Smart- 
phones eingebaut. Damit erkennt das 
Gerät, in welche Richtung es ausge- 
richtet ist. Dazu wird die Wirkung der 
Schwerkraft in ein elektrisches Signal 
umgewandelt. Es gibt verschiedene Ty- 
pen. Ein häufig verwendeter errechnet 
die Beschleunigung aus einer Änderung 
der elektrischen Kapazität. Für jede der 
Raumrichtungen enthält er einen weni- 
ge Mikrometer breiten Siliziumstab, der 
in die jeweilige Richtung frei beweglich 
ist. Wird das Gerät in eine Richtung be- 
schleunigt, verändert sich aufgrund der 
Massenträgheit die Position des Stabs. 
Dieser bildet zusammen mit einer fest 
montierten Platte einen Kondensator. 
Dessen Kapazität ändert sich mit dem 
Abstand. Die elektrische Kapazität lässt 
sich leicht messen. Aus ihr lässt sich die 
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Beschleunigung des Geräts berechnen. 

Dieses Beschleunigungsmessen lässt 
sich auch für andere Forschungsfelder 
nutzen. So berechnet die App „Street 
Bump“ der Stadt Boston/USA wäh- 
rend Autofahrten Erschütterungen, um 
Schlaglöcher zu lokalisieren. Je nach 
Fabrikat enthalten Smartphones auch 
ein Thermometer, ein Barometer, ein 
Hygrometer zur Bestimmung der Luft- 
feuchtigkeit sowie ein Magnetometer zur 
Messung von Magnetfelderm. Mit der in 
den Geräten installierten Kamera lassen 
sich nicht nur Fotos schießen; Forschen- 
de haben Verfahren entwickelt, mit denen 
anhand der erfassten Handybilder der 
Reifegrad einer Banane und der Chlorge- 
halt einer Wasserprobe bestimmt werden 
können. Ein Team der Nanyang Techno- 
logical University in Singapur entwickelt 
eine App, die aus Handyfotos ablesen 
soll, wieviel Smog in der Luft ist. 

Auch im medizinischen Bereich gibt 
es Anwendungen. Apple präsentierte im 
Jahr 2015 eine Schnittstelle namens „Re- 
searchKit“, mit der Forschende iPhone- 
Apps für medizinische Studien entwi- 
ckeln können. Zu den ersten Projekten 
gehörte „mPower“, das der Erforschung 
von Parkinson dienen soll. Diese App 
der nicht-kommerziellen Organisation 
Sage Bionetworks nutzt Touchscreen 
und Mikrofon von iPhones, um zu mes- 
sen, wie stark Hände und Stimme von 
Probanden zittern. Teilnehmende sol- 
len regelmäßig Übungen ausführen und 
dazu Fragen beantworten, etwa zu ihrer 
Ernährung, ihrem Schlaf und ihren sport- 
lichen Aktivitäten. Aus der Kombination 
von Fragebogen- und Messdaten wollen 
die Forschenden neue Erkenntnisse über 
die Parkinson-Erkrankung gewinnen. 
Andere Apps auf der Grundlage von Re- 
searcheKit sammeln Bewegungsdaten 
mithilfe des Beschleunigungssensors, um 
z. B. Diabetes, Herz- oder Atemwegser- 
krankungen zu erforschen. 

Forschende überlegen, welche Mess- 
geräte auf Handys noch gebraucht wer- 
den könnten. Ein Team vom Fraunhofer- 
Institut für Organische Elektronik, Elek- 
tronenstrahl- und Plasmatechnik und die 
TU Dresden entwickelt ein Spektrome- 
ter, das die chemische Zusammensetzung 
von Stoffen bestimmen kann und in ein 
Smartphone passt. Damit könnten Han- 
dynutzende selbst Lebensmittel auf ihre 
Inhaltsstoffe durchleuchten oder Luft- 


schadstoffe messen. Sommer 2016 soll 
ein Prototyp fertiggestellt sein (Endt, Das 
Labor im Handy, SZ 24.02.2016, 12). 


Hackerangriff auf Nissan 
Leaf erfolgreich 


Auf der Mobile World Congress in 
Barcelona Ende Februar 2016 präsen- 
tierte Nissan sein Elektroauto „Leaf“ als 
das mobile Endgerät schlechthin — eine 
Art Smartphone mit Elektromotor, vier 
Rädern und einer intelligenten Schnitt- 
stelle, die Mensch und Maschine etwas 
enger verbinden soll. Wenige Tage spä- 
ter demonstrierte der Computerexperte 
und Sicherheitsforscher Troy Hunt, dass 
das Auto ohne große Probleme gehackt 
werden kann. Über die von ihm aufge- 
deckte Sicherheitslücke konnte nicht nur 
die BesitzerIn eines Nissan Leaf auf die 
IT des Autos zugreifen, sondern auch je- 
deR andere global über das Internet. Ein 
Hacker musste lediglich die richtige In- 
ternetadresse und eine Fahrzeug-Identifi- 
zierungsnummer parat haben. Beides ist 
nicht geheim: Die nötigen Webadressen 
kursieren im Netz, zum Beispiel in Fo- 
ren, in denen sich besorgte Nissan-Leaf- 
HalterInnen über die Sicherheitslücke 
austauschen. Die Nummer ist links unten 
in der Windschutzscheibe für jeden sicht- 
bar. Eine weitere Authentifizierung oder 
ein PIN-Code wird von der Schnittstelle 
Nissan-Connect-EV offensichtlich nicht 
abgefragt. 

Um zu demonstrieren, welche Mög- 
lichkeiten das eröffnet, stellte Hunt ein 
Video ins Internet. Das zeigt ihn, nach 
eigener Aussage in Australien an seinem 
Computer sitzend, und seinen Partner, 
der in Nordengland in einem Nissan Leaf 
sitzt. Hunt kopiert sich eine URL in die 
Browserzeile — und ein paar Sekunden 
später springen die Sitzheizung und die 
Klimaanlage an, ohne dass der Partner 
am anderen Ende der Welt irgendetwas 
gemacht hätte. Kurze Zeit später schaltet 
Hunt die Systeme wieder aus und fragt 
Fahrdaten der vergangenen Tage ab: Da- 
tum und Uhrzeit, Strecke, verbrauchte 
Energie. Offenbar ist dabei die Zündung 
des Autos ausgeschaltet. 

Es müsse angeblich nicht einmal eine 
konkrete Identifizierungsnummer be- 
kannt sein, um an die Fahrdaten eines 
Nissan Leaf zu gelangen oder dessen Kli- 
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maanlage zu steuern, da sich die Num- 
mern aller Nissan Leafs nur in den letz- 
ten fünf, maximal sechs Ziffern vonein- 
ander unterscheiden. Theoretisch sei es 
möglich, mithilfe von Programmen alle 
Ziffern durchzuprobieren, bis schließlich 
ein Treffer gelingt und ein Auto die ge- 
wünschten Daten sendet. Nissan bestätig- 
te das Problem und teilte mit: „Connect 
EV steht unseren Kunden derzeit nicht 
zur Verfügung“. Es seien aber weder si- 
cherheits- noch fahrrelevante Funktionen 
betroffen (Harloff, Hacker drin, Klima 
läuft, SZ 26.02.2016, 21). 


CDT warnt vor Profilbil- 
dung mit Sound Beacons 


Die US-amerikanische Datenschutz- 
organisation Center for Democracy and 
Technology (CDT) warnt vor den Fol- 
gen von geräteübergreifendem Nutzer- 
Tracking mit Hilfe von der Werbung im 
Fernsehen oder im Internet unterlegten 
hochfrequenten Tönen, die Menschen 
nicht wahrnehmen. Tablets, Smartpho- 
nes und Geräte in der Nähe können diese 
sogenannten Sound-Beacons registrie- 
ren und einem Benutzerprofil zuordnen. 
Damit könnten Werbenetzwerke auf 
breiter Front die Interessen des Nutzers 
auskundschaften und ihn geräteüber- 
greifend mit zielgerichteter Werbung 
berieseln. 

Die US-Aufsichtsbehörde Federal 
Trade Commission (FTC) hat sich am 
16.11.2015 in einem Workshop mit 
dem Thema beschäftigt, wozu das CDT 
einen Bericht beisteuerte. Demgemäß 
entwickeln die Firmen Adobe, Silver- 
Push, Drawbridge und Flurry an gerä- 
teübergreifenden Nutzerprofilen. Die 
US-Datenschützer warnen dabei be- 
sonders vor SilverPush. Im April 2015 
habe man deren Software bereits in 6 
bis 7 Apps gefunden. Ist eine solche 
App aktiv, kann sie das Sound-Beacon 
von Werbung identifizieren, die ein an- 
deres Gerät abspielt. Laut SilverPush 
werde dabei nur auf die Beacons und 
nicht auf andere Geräusche oder gar 
auf Sprache gelauscht. Nach Angaben 
von CDT überwacht SilverPush so be- 
reits 18 Millionen Smartphones (Kos- 
sel, Datenschutz: Werbe-Tracker über- 
winden Gerätegrenzen, www.heise.de 
15.11.2015). 
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T-Teisigjelgsteiglälgte 


BVerwG 


Facebook-Fanpage-Ver- 
antwortlichkeit beim EuGH 


Am 25.02.2016 beschloss das Bun- 


desverwaltungsgericht (BVerwG) im 
Verwaltungsrechtsstreit zwischen der 
Wirtschaftsakademie Schleswig-Hol- 


stein GmbH (WAK) und dem Unabhän- 
gigen Landeszentrum für Datenschutz 
Schleswig-Holstein (ULD), die Frage der 
Verantwortlichkeit von Betreibern von 
Facebook-Fanpages für die Verarbeitung 
von Nutzungsdaten dem Europäischen 
Gerichtshof (EuGH) zur Beantwortung 
vorzulegen (1 C 28.14). Anlass war eine 
Anordnung des ULD gegenüber der 
WAK, einer Bildungseinrichtung der In- 
dustrie- und Handelskammer Schleswig- 
Holstein (IHK), vom 03.11.2011, eine 
von dieser betriebene Facebook-Fanpage 
zu deaktivieren. Nach Auffassung des 
ULD verletzt der Betrieb der Facebook- 
Fanpage europäisches und nationales 
Datenschutzrecht. Nachdem die WAK 
gegen die Anordnung Klage eingereicht 
hatte, beschäftigte der folgende Rechts- 
streit bereits das Schleswig-Holsteini- 
sche Verwaltungsgericht (09.10.2013, 
DANA 4/2013, 169) und das Schleswig- 
Holsteinische Oberverwaltungsgericht 
(04.09.2014, DANA 4/2014, 184 £.). 

Das Bundesverwaltungsgericht hat in 
seinem Beschluss keine Entscheidung 
über die maßgeblichen Rechtsfragen 
getroffen. Insbesondere die Verantwort- 
lichkeit von Unternehmen für die Daten- 
verarbeitung auf von ihnen betriebenen 
Facebook-Fanpages blieb ungeklärt. In 
der Verhandlung verwies der vorsitzen- 
de Richter Uwe Berlit auf einen Aufsatz 
von Martini/Fritzsche in NVwZ Extra 
21/2015, 1 ff., dem sich der Senat inhalt- 
lich weitgehend anschließen wolle. Das 
BVerwG legte insgesamt sechs Rechts- 
fragen zu Kernpunkten des zu entschei- 
denden Sachverhalts dem EuGH zur 
Beantwortung vor. Unter anderem will 
das BVerwG wissen, ob es neben den 
deutschen Regelungen zur Verantwort- 
lichkeit weitere Umstände gibt, die für 


eine Verantwortlichkeit bei mehrstufigen 
Informationsanbieterverhältnissen Raum 
lassen. Speziell geht es hier um den 
Punkt, inwieweit es neben der Auftrags- 
datenverarbeitung eine Sorgfaltspflicht 
für die Auswahl von Dienstleistern im 
Internet gibt. Schließlich soll der EuGH 
klären, ob das Tätigwerden einer Daten- 
schutzaufsichtsbehörde davon abhängig 
ist, dass vorher die für den Diensteanbie- 
ter zuständige Aufsichtsbehörde in einem 
europäischen Mitgliedstaat um eigen- 
ständiges Tätigwerden ersucht wird. 

Bis zur Beantwortung der Fragen wird 
das Revisionsverfahren ausgesetzt. Ma- 
rıt Hansen, die Leiterin des ULD, hätte 
sich nach mehr als fünf Jahren und drei 
Gerichtsinstanzen klare Aussagen und 
einen Abschluss des Rechtsstreits ge- 
wünscht: „Vor dem Hintergrund, dass 
wir in zwei Jahren mit der Europäischen 
Datenschutz-Grundverordnung arbeiten 
werden, steht zu befürchten, dass der 
ursprüngliche Sachverhalt in der rechtli- 
chen und technischen Umsetzung über- 
holt sein wird.“ Mit der EuGH-Vorlage 
könnten sich aber evtl. neue deutlichen 
Impulse für den Schutz der Betroffenen- 
rechte ergeben. Ähnlich Marcus Schween 
von der IHK: „Der Beschluss bringt 
leider noch nicht die erhoffte Rechtssi- 
cherheit für Unternehmen, die moderne 
Internetinfrastrukturen für geschäftli- 
che Zwecke nutzen möchten“ (ULD, 
PE 25.02.2016, Verantwortlichkeit von 
Fanpage-Betreibern vom Bundesver- 
waltungsgericht noch nicht entschieden 
- der EuGH soll‘s richten, https://www. 
datenschutzzentrum.de/artikel/1013-. 
html; IHK Schleswig-Holstein, PE 
25.02.2016, EuGH hat das letzte Wort, 
www.ihk-schleswig-holstein.de). 


BGH 


Bewertungsportale unter- 
liegen Prüf- und Begrün- 
dungspflichten 


Der Bundesgerichtshof (BGH) hat mit 
Urteil vom 01.03.2016 die Vorausset- 


107 


zungen für die Bewertung von Ärzten 
im Internet präzisiert (VI ZR 34/15). 
Ein Zahnarzt hatte gegen die Betreibe- 
rin von www.jameda.de, ein Portal zur 
Arztsuche und -bewertung, geklagt, weil 
er sich von einer ihm anoym bleiben- 
den Person ungerecht negativ bewertet 
fühlte. Die Bewertung, die die Nutzen- 
den ohne Angabe seines Klarnamens 
abgeben können, erfolgt dabei anhand 
einer sich an Schulnoten orientierenden 
Skala für insgesamt fünf vorformulierte 
Kategorien, namentlich „Behandlung“, 
„Aufklärung“, „Vertrauensverhältnis‘“, 
„genommene Zeit“ und „Freundlich- 
keit“. Ferner besteht die Möglichkeit zu 
Kommentaren in einem Freitextfeld. 

Der Kläger war mit der Gesamtnote 
4,8 bewertet worden mit dem Zusatz 
„Ich kann Dr. I. nicht empfehlen“. Die 
4,8 war aggregiert worden u. a. aus den 
Noten „6“ für „Behandlung“, „Aufklä- 
rung“ und „Vertrauensverhältnis“. Der 
Kläger bestreitet, dass er den Bewer- 
tenden behandelt hat und hatte Jameda 
vorprozessual zur Entfernung der Be- 
wertung aufgefordert. Diese sandte die 
Beanstandung dem ihm bekannten Nut- 
zenden; dessen Antwort leitete Jameda 
dem Kläger unter Hinweis auf daten- 
schutzrechtliche Bedenken nicht weiter. 
Die Bewertung blieb online. 

Der Zahnarzt forderte mit seiner Kla- 
ge die Unterlassung der Verbreitung 
der Bewertung. Das Landgericht Köln 
hatte zuvor mit Urteil vom 09.07.2014 
der Klage stattgeben (28 O 516/13); das 
Oberlandesgericht (OLG) Köln hatte sie 
auf die Berufung der Beklagten hin am 
16.12.2014 abgewiesen (15 U 141/14). 
Der für das allgemeine Persönlichkeits- 
recht zuständige 6. Zivilsenat des BGH 
hob diese Entscheidung auf und verwies 
den Rechtsstreit an das Berufungsgericht 
zurück. Die beanstandete Bewertung sei 
keine eigene „Behauptung“ von Jame- 
da, weil sie diese sich nicht inhaltlich zu 
eigen gemacht hat. Die Beklagte hafte 
für den von Nutzenden ihres Portals ab- 
gegebene Bewertung deshalb nur dann, 
wenn sie zumutbare Prüfungspflichten 
verletzt habe. Deren Umfang richtet sich 
nach den Umständen des Einzelfalles. 
Maßgebliche Bedeutung komme dabei 
dem Gewicht der beanstandeten Rechts- 
verletzung, den Erkenntnismöglichkei- 
ten des Providers sowie der Funktion 
des vom Provider betriebenen Dienstes 
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zu. Hierbei dürfe einem Diensteanbieter 
keine Prüfungspflicht auferlegt werden, 
die sein Geschäftsmodell wirtschaftlich 
gefährdet oder seine Tätigkeit unver- 
hältnismäßig erschwert. 

Jameda habe diese ihr obliegenden 
Prüfpflichten verletzt. Bewertungspor- 
tale trügen ein gesteigertes Risiko von 
Persönlichkeitsrechtsverletzungen in 
sich, was sich durch die Möglichkeit, 
Bewertungen anonym oder pseudonym 
abzugeben, verstärke. Dem betroffenen 
Arzt sei es bei derart verdeckt abgege- 
benen Bewertungen schwer, gegen den 
Bewertenden direkt vorzugehen. Vor 
diesem Hintergrund hätte die beklagte 
Portalbetreiberin die Beanstandung des 
betroffenen Arztes dem Bewertenden 
übersenden und ihn dazu anhalten müs- 
sen, ihr den angeblichen Behandlungs- 
kontakt möglichst genau zu beschreiben. 
Darüber hinaus hätte sie den Bewerten- 
den auffordern müssen, ihr den Behand- 
lungskontakt belegende Unterlagen, wie 
etwa Bonushefte, Rezepte oder sonstige 
Indizien, möglichst umfassend vorzu- 
legen. Diejenigen Informationen und 
Unterlagen, zu deren Weiterleitung sie 
ohne Verstoß gegen $ 12 Abs. 1 TMG in 
der Lage gewesen wäre, hätte sie an den 
Kläger weiterleiten müssen. Im weiteren 
Verfahren werden die Parteien Gelegen- 
heit haben, zu von der Beklagten ggf. er- 
griffenen weiteren Prüfungsmaßnahmen 
ergänzend vorzutragen. 

Der BGH schützt also die Anonymität 
der Bewertenden, gibt aber den Bewer- 
teten bessere Möglichkeiten, sich zur 
Wehr zu setzen. Im Juli 2014 hatte der 
BGH gegen einen Arzt entschieden, der 
im Portal Sanego negativ bewertet wur- 
de, weil er angeblich im Wartezimmer 
lange warten ließ und ein falsches Me- 
dikament verschrieben habe. Der BGH 
signalisierte, dass die freie Meinungs- 
äußerung Bewertungen zulasse, die ein 
Arzt ertragen müsse. Jetzt klärte der 
BGH, dass der betroffene Arzt das Recht 
hat, mehr über denjenigen zu erfahren, 
der die Bewertung abgegeben hat, Und 
die Tatsacheninstanz des OLG muss 
prüfen, ob Jameda abgeklärt hat, dass 
der Bewerter wirklich in Behandlung 
war. Umgekehrt hat der Arzt ein berech- 
tigtes Interesse, der Sache nachzugehen. 

Jameda-Geschäftsführer Florian Weiß 
zeigte sich zufrieden. Den konkreten 
Fall habe man geprüft. Aus Rücksicht 


auf den Bewerter habe man aber die 
Unterlagen nicht herausgegeben: „Jetzt 
wissen wir, dass wir in einem solchen 
Fall Unterlagen erfragen und sie ge- 
schwärzt weitergeben sollen“. Reagiert 
ein Bewerter nicht auf eine Rückfrage, 
werde der Kommentar gelöscht. Jameda 
wolle nicht Hetze und Verleumdung Vor- 
schub leisten. „Aber wir glauben, dass 
Ärztebewertungen nur anonym zustan- 
de kommen.“ Jameda hat im Jahr 2015 
6 Mio. Euro umgesetzt und 2 Mio. Euro 
Gewinn vor Steuern erwirtschaftet. Alle 
ca. 280.000 niedergelassenen ÄrztInnen 
sind hier zu finden, ebenso Heilpraktike- 
ıInnen und PhysiotherpeutInnen. Nach 
Angaben von Jameda besuchen jeden 
Monat 5,5 Mio. Menschen das Portal. 
Jeden Tag kommen 1.500 Posts zu den 
mehr als 1 Mio Bewertungen hinzu. 
Eine Software soll hämische Auswüch- 
se aussortieren. Der Rest geht direkt on- 
line. D. h. die Betroffenen müssen sich 
selbst zur Wehr setzen (BGH, PE Nr. 
49/16 v. 01.03.2016, Bundesgerichtshof 
konkretisiert Pflichten des Betreibers 
eines Ärztebewertungsportals; Berndt, 
Krank geschrieben, SZ 02.03.2016, 10). 


VG Hannover 


Keine datenschutzrechtli- 
che Anordnungsbefugnis 
bei öffentlichen Unter- 
nehmen 


Das Verwaltungsgericht (VG) Hanno- 
ver hat mit Urteil vom 10.02.2016 auf die 
Klage der üstra Hannoversche Verkehrs- 
betriebe AG eine datenschutzrechtliche 
Verfügung der Landesbeauftragten für 
den Datenschutz Niedersachsen (LfD 
Nds.) aufgehoben (Az. 10 A 4379/15). 
Mit dieser Verfügung hatte die LfD Nds. 
die Einstellung der Videoüberwachung 
in Bussen und Bahnen angeordnet, so- 
lange die üstra AG kein datenschutzkon- 
form abgestuftes Überwachungskonzept 
vorlege oder anhand einer konkreten 
Gefahrenprognose nachweise, dass die 
bisher praktizierte flächendeckende Vi- 
deobeobachtung erforderlich sei. 

Das VG gab der Klage statt, ohne die 
zwischen den Beteiligten streitige daten- 
schutzrechtliche Rechtmäßigkeit der Vi- 
deoüberwachung als solche zu beurtei- 
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len. Die Verfügung erweise sich schon 
mangels ausreichender Rechtsgrundlage 
als rechtswidrig. Die LfD Nds. könne 
sich dafür nicht auf das Bundesdaten- 
schutzgesetz (BDSG) stützen. Die üstra 
AG nehme mit dem Betrieb des öffent- 
lichen Personennahverkehrs hoheitliche 
Aufgaben der öffentlichen Daseins- 
vorsorge wahr und sei insofern öffent- 
liche Stelle im Sinne des BDSG. Auf 
öffentliche Stellen in den Ländern sei 
das BDSG aber nur unter weiteren, hier 
nicht gegebenen Voraussetzungen an- 
wendbar. Eine Rückverweisung aus dem 
Niedersächsischen Landesdatenschutz- 
gesetz (LDSG) in das BDSG gebe es 
nicht. Nach dem insofern im Rechtsver- 
hältnis der Beteiligten zueinander allein 
einschlägigen LDSG habe die LfD Nds. 
nicht dieselben Eingriffsbefugnisse wie 
nach dem BDSG; insbesondere könne 
sie eine für datenschutzwidrig gehaltene 
Praxis nicht untersagen, sondern ledig- 
lich beanstanden. Die ausdrücklich auf 
die Einstellung der derzeitigen Praxis 
gerichtete Verfügung sei schon deshalb 
aufzuheben. Die zwischen den Beteilig- 
ten streitige Frage, wie die Videoüber- 
wachung nach dem BDSG zu beurteilen 
wäre, stelle sich nach alledem in diesem 
Gerichtsverfahren nicht. Die Kammer 
hat gegen das Urteil wegen grundsätz- 
licher Bedeutung die Berufung zum 
Nds. Oberverwaltungsgericht zugelas- 
sen (VG Hannover: Keine Befugnis der 
Landesdatenschutzbeauftragten zur Un- 
tersagung der Videoüberwachung in den 
Fahrzeugen der üstra, www.heymanns- 
download.de 11.02.2016, VG Hannover, 
PM 10.02.2016). 


LG München 


Keine Werbevertrag bei 
kostenloser Online-Zei- 
tung 


Die Zivilkammer des Landgerichts 
(LG) München hat mit Urteil vom 
22.03.2016 eine Klage des Süddeut- 
schen Verlags gegen die Kölner Firma 
Eyeo abgewiesen, mit dem dieser den 
Vertrieb des Werbeblockers Adblock 
Plus unterbinden wollte (Az. 33 O 
5017/15). Der Verlag wirft Eyeo vor, 
den Vertrieb von Werbung auf der Web- 
site süddeutsche.de gezielt zu behindern 
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und so jährlich Schäden im „mittleren 
sechsstelligen Euro-Bereich“ zu verur- 
sachen. Eyeo greife in den impliziten 
Vertrag zwischen Verlag und LeserInnen 
ein, der die Anzeige kostenlos abrufba- 
rer Artikel vorsehe. 

Eyeo hingegen meinte, seine Software 
diene dazu, dass die Nutzenden ihre in- 
formationelle Selbstbestimmung durch- 
setzen könnten. Nur wenn sie Adblocker 
und ähnliche Programme verwenden, 
könnten sie verhindern, dass die Wer- 
beindustrie sie trackt oder Webserver 
schädliche Programme aufspielten. Zu- 
dem stehe es dem Verlag frei, seine In- 
halte anders zu monetarisieren. Eyeo sei 
auch nicht daran interessiert, die Werbe- 
finanzierung komplett zu unterbinden, 
da das Unternehmen in seinem Accep- 
table-Ads-Programms an den Werbeum- 
sätzen der Vertragspartner beteiligt sei. 

Die Richter stellten gemäß der Ver- 
lagsargumentation fest, dass Eyeo und 
der Süddeutsche Verlag tatsächlich kon- 
kurrierten, wodurch nach dem Wettbe- 
werbsrecht geklagt werden könne. Die- 
ser Punkt war bei vorangegangenen Kla- 
gen anderer Medienhäuser strittig. Doch 
sah das LG keine gezielte Behinderung 
des Süddeutschen Verlags. Es gebe auch 
kein faktisches Vertragsverhältnis, das 
die LeserInnen verpflichte, Werbung an- 
zuschauen. 

Der Werbeblocker stelle keinen tiefen 
Eingriff in die Kommunikation zwi- 
schen Verlag und LeserInnen dar. Der 
Verlag hatte argumentiert, dass der Wer- 
beblocker nicht nur Werbung, sondern 
auch Copyright-Hinweise und Links auf 
das Impressum entfernt habe. Dies er- 
klärte Eyeo damit, dass die betroffenen 
Bereiche vom Verlag technisch als Wer- 
bung gekennzeichnet gewesen seien; die 
Filter seien korrigiert worden. 

Die Entscheidung kommt nicht über- 
raschend. Zuvor hatten bereits Landge- 
richte in Hamburg, Köln und München 
für Eyeo entschieden. Mehrere Medien- 
häuser haben bereits angekündigt, den 
Streit durch den Instanzenweg zu füh- 
ren. Sie erhoffen vom Bundesgerichts- 
hof eine Korrektur der Entscheidung in 
Sachen „Fernsehfee“, durch die Wer- 
beblocker prinzipiell für legal erklärt 
wurden. Medienhäuser gehen auch auf 
anderer Ebene gegen Adblocker vor. So 
hatte der Verlagskonzern Axel Springer 
zumindest die Verbreitung von Filterre- 


geln unterbinden lassen, die die Umge- 
hung der aufbild.de eingesetzten Adblo- 
cker-Sperre ermöglichen. 

Immer mehr Webseiten greifen wegen 
der zunehmenden Verbreitung von Ad- 
blockern und Anti-Tracking-Techniken 
mittlerweile zu technischen Gegenmaß- 
nahmen: Sie sperren die NutzerInnen 
solcher Programme von ihren kosten- 
losen Angeboten aus oder fordern sie 
zumindest auf, bestimmte Websites frei- 
zuschalten. Französische Verleger haben 
eine gemeinsame Aktion zur Blockade 
von Adblockern gestartet; in Schweden 
ist Ähnliches in Vorbereitung. Paywalls 
werden immer verbreiteter. So sind seit 
2015 auch viele Inhalte auf süddeutsche. 
de zahlenden KundInnen vorbehalten 
(Kleinz, Werbeblocker: Eyeo gewinnt 
vor Gericht gegen „Süddeutsche Zei- 
tung“, www.heise.de 30.03.2016). 


LG Berlin 


Ordnungsgeld gegen 
Facebook wegen unge- 
nügender AGB-Anderung 


Gemäß einem Beschluss des Land- 
gerichts (LG) Berlin vom 11.02.2016 
muss Facebook 100.000 Euro Ord- 
nungsgeld in die Staatskasse über- 
weisen, weil das Unternehmen gegen 
eine Unterlassungsverpflichtung des 
höherinstanzlichen Kammergerichts 
Berlin (KG) verstoßen hat (16 O 
551/10). Facebook habe anders als 
vom KG gefordert eine Passage in den 
Vertragsklauseln zwischen dem sozi- 
alen Netzwerk und seinen deutschen 
NutzerInnen nicht ausreichend abge- 
ändert. 

Ursprung dieses Verfahrens ist eine 
Klage der Verbraucherzentrale Bun- 
desverband (vzbv) gegen Facebook 
aus dem Jahr 2010. Die Verbrau- 
cherschützer hatten moniert, dass die 
sogenannte „IP-Lizenz-Klausel“ in 
Facebooks Nutzungsbedingungen zu 
unbestimmt formuliert sei und sich 
damit nachteilig auf die deutschen 
NutzerInnen auswirke. Mit dieser 
„IP-Lizenz“ räumt sich Facebook 
nichtexklusive, weltweite Rechte zur 
Verwendung aller Inhalte ein, die Mit- 
glieder des Netzwerks dort posten (IP 
steht in diesem Fall für „Intellectual 
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Property“). Der vzbv hatte in dem 
Verfahren in erster und zweiter Ins- 
tanz Recht bekommen. Das KG warf 
Facebook vor, mit der Klausel gegen 
das Transparenzgebot zu verstoßen 
und untersagte deren Nutzung mit Be- 
schluss vom 24.01.2014 (5 U 42/12). 
Nach der Zurückweisung einer Nicht- 
zulassungsbeschwerde des Bundes- 
gerichtshofs (BGH) ist dieses Urteil 
seit Oktober 2015 rechtskräftig. Im 
Dezember 2015 prüfte der vzbv, ob 
sich Facebook an die Unterlassungs- 
verpflichtung hält. Man fand eine ge- 
änderte, aber nach Ansicht des vzbv 
immer noch rechtswidrige Version der 
Klausel vor und beantragte ein „in das 
Ermessen des Gerichts gestelltes Ord- 
nungsgeld bis zu 250.000 Euro“. 

Das LG Berlin folgte der Argumen- 
tation des vzbv. Die neue Klausel 
sei im Kern nicht konkreter, damit 
verstoße Facebook gegen die Unter- 
lassungsverpflichtung. Zwar habe 
Facebook bereits angekündigt, die 
Klausel demnächst nochmals ändern 
zu wollen, dies könne sich aber nicht 
mehr auf den Verstoß auswirken: „Die 
Beibehaltung einer Klausel mit dem 
gerichtlich beanstandeten Inhalt lässt 
erkennen, dass die Schuldnerin das 
gerichtliche Verbot nicht ausreichend 
ernst genommen hat.“ Die vergleichs- 
weise hohe Summe von 100.000 Euro 
für ein erstes Ordnungsgeld erklärt 
das Gericht damit, dass die Sanktion 
„auch für die wirtschaftlich starke 
Schuldnerin zumindest spürbar sein“ 
müsse. 

Klaus Müller, Vorstand des vzbv, 
zeigte sich mit dem noch nicht be- 
standskräftigen Beschluss zufrieden: 
„Facebook versucht sehr beharrlich, 
Verbraucherrechte in Deutschland 
und Europa zu umgehen. Ein Ord- 
nungsgeld von 100.000 Euro ist ein 
deutliches Signal. Unternehmen müs- 
sen gerichtliche Entscheidungen um- 
setzen und können sie nicht einfach 
aussitzen. Eine AGB-Klausel werde 
nicht dadurch besser, dass Facebook 
ein paar Worte ändere. Ein Sprecher 
von Facebook erklärte dazu, dass das 
Unternehmen die Zahlung des Ord- 
nungsgeldes akzeptiere (Bleich, LG 
Berlin: Facebook muss 100.000 Euro 
Ordnungsgeld zahlen, www.heise.de 
29.02.2016). 
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LG Düsseldorf 


„Like“-Button ohne 
Info und Einwilligung 
unzulässig 


Das Landgericht (LG) Düsseldorf hat 
der Klage der Verbraucherzentrale Düssel- 
dorf (VZ NRW) wegen des „Gefällt mir“- 
Buttons von Facebook mit Urteil vom 
09.03.2016 gegen den Bekleidungshänd- 
ler Peek & Cloppenburg weitgehend statt- 
gegeben (Az. 12 O 151/15). Die VZ hatte 
kritisiert, dass durch das Plugin Daten, die 
über das Surfverhalten des Kunden Aus- 
kunft geben, schon beim einfachen Aufru- 
fen einer Seite an Facebook weitergeleitet 
werden. Das LG entschied, dass Unter- 
nehmen die SeitenbesucherInnen über die 
Weitergabe von Daten aufklären müssen. 
Die Integration des „Like‘-Buttons verlet- 
ze Datenschutzvorschriften, weil dadurch 
unter anderem die IP-Adresse des Nutzers 
ohne ausdrückliche Zustimmung an Face- 
book weitergeleitet werde. Dies passiert 
unabhängig davon, ob die Seitenbesuche- 
rin Facebook-Mitglied ist oder nicht. Eine 
Information wurde nicht gegeben noch 
um eine Einwilligung gebeten. 

Rechtsanwältin Sabine Petri von der 
Verbraucherzentrale zeigte sich mit dem 
Urteil zufrieden und kommentierte: „Kei- 
ner weiß, was Facebook mit den Daten 
macht“. Unternehmen könnten sich nicht 
einfach aus der Verantwortung ziehen, in- 
dem sie auf Facebook verweisen. 

Bei Peek & Cloppenburg ging es um 
die Website fashion.id. Mittlerweile muss 
die NutzerIn dort Social-Media-Dienste 
explizit aktivieren und stimmt damit zu, 
„dass Daten an die Betreiber der sozialen 
Netzwerke übertragen werden“. Insge- 
samt hatte die Verbraucherzentrale NRW 
im Frühjahr 2015 sechs Unternehmen we- 
gen des „Like“-Buttons abgemahnt: HRS, 
Nivea (Beierdorf), Payback, Eventim, Fa- 
shion ID und KIK. Vier dieser Unterneh- 
men hatten eine Unterlassungserklärung 
abgegeben. Ebenso uneinsichtig zeigte 
sich Payback, gegen das die VZ NRW 
beim LG München Klage eingereicht hat 
(Gericht gibt Verbraucherzentrale weitge- 
hend recht, www.faz.net 09.03.2016; Ver- 
braucherzentrale Nordrhein-Westfalen, 
PE: Facebook-Like-Button auf Firmen- 
Websites: Gericht rügt Datenschutzver- 
stoß 09.03.2016). 


AG Potsdam 


Keine Kameradrohnen 
über Nachbars Garten 


Gemäß einem Urteil des Amtsge- 
richts (AG) Potsdam vom 16.04.2015 
gewährt die allgemeine Handlungs- 
freiheit keinen Anspruch darauf, eine 
Flugdrohne über das Grundstück des 
Nachbarn fliegen zu lassen (Az.: 37 C 
454/13). In dem Fall ging es um einen 
Streit zwischen Nachbarn. Ein Mann 
hatte seine Drohne, die mit einer Ka- 
mera ausgestattet war, über das Haus 
und das Grundstück seiner Nachbarin 
fliegen lassen. Deren Grundstück ist 
durch hohe Hecken vor neugierigen 
Blicken geschützt. Als sie im Garten 
auf einer Sonnenliege las, startete der 
Nachbar seine Drohne. Die Nachbarin 
fühlte sich dadurch gestört und ließ den 
Piloten durch ihren Anwalt abmahnen 
und forderte die Abgabe einer Unterlas- 
sungserklärung. Als dieser dies verwei- 
gerte, zog sie vor Gericht. 

Das AG gab der Frau Recht: Grund- 
sätzlich sei der Luftraum für die vom 
Beklagten benutzte Drohne frei. Auch 
schütze die allgemeine Handlungsfrei- 
heit die Pflege von eigenwilligen Hob- 
bys. Doch hier gehe das im Grundge- 
setz geschützte Persönlichkeitsrecht 
vor. Zur Privatsphäre gehöre auch die 
Integrität eines nicht einsehbaren Gar- 
tens, der typischerweise ein Rückzugs- 
ort des Nutzenden ist. Beobachtungen 
anderer Personen seien als Ausspähung 
zu bewerten. Dies gelte umso mehr, 
wenn wie im vorliegenden Fall — einem 
offenkundig gestörten Nachbarschafts- 
verhältnis — das Fliegen der Drohne 
über dem Nachbargrundstück nicht 
mehr als zufällig erscheint. Vielmehr 
habe dies „bereits Züge von Mobbing“. 
Der Hinweis des Beklagten, er habe 
keine Aufnahmen vom Grundstück der 
Nachbarin gemacht und auch einen 
Abstand von 50 Metern zu dem betref- 
fenden Grundstück eingehalten, konnte 
die Richter nicht überzeugen. Für sein 
Hobby gebe es genug andere Flächen. 
Es gehe nicht um ein Flugverbot oder 
um das „Untersagen einer kindlich-un- 
schuldigen Freizeitbeschäftigung, wie 
beispielsweise einen Drachen steigen 
zu lassen oder ein Modellflugzeug zu 
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steuern“, sondern um eine Persönlich- 
keitsbeeinträchtigung. 

Bei privater Nutzung darf der Flug 
nur innerhalb der Sichtweite der steu- 
ernden Person erfolgen. Auf freier Flä- 
che entspricht dies einer maximalen 
Entfernung von 200 bis 300 Metern. 
Für Freizeitnutzungen sind keine Ge- 
nehmigungen nötig, es sei denn, das 
Gerät wiegt mehr als 5 Kilogramm. 
Professionelle Fotografen, die aus 
kommerziellen Gründen Luftaufnah- 
men machen, bedürfen einer Behör- 
denerlaubnis. (Drohnen dürfen nicht 
über Nachbargrundstück fliegen, www. 
berlin.de 01.02.2016; Nasemann, Aus- 
gespäht, SZ 01.04.2016, 33). 


SG Mainz 


TK muss Versicherten- 
passfoto löschen 


Das Sozialgericht (SG) Mainz ent- 
schied mit Urteil vom 01.12.2015, dass 
eine gesetzliche Krankenkasse das Foto 
eines Versicherten nach der Erfassung 
seiner Daten löschen muss (S 14 KR 
477/15). Der Kläger hatte gegen die 
dauerhafte Speicherung seines Bildes 
geklagt und sich auf den Datenschutz 
und die informationelle Selbstbestim- 
mung berufen. Eine Vorratsspeicherung 
für die Dauer der Mitgliedschaft sah er 
nicht für erforderlich an. Die Techniker 
Krankenkasse (TK) hatte sich gewei- 
gert, das Bild aus ihrer Datenbank zu 
nehmen - für den Fall, dass die von ihr 
herausgegebene elektronische Gesund- 
heitskarte (eGK) verloren ginge oder 
zerstört würde. Eine Neubeschaffung 
des Fotos wäre mit einem unverhältnis- 
mäßigen Aufwand verbunden. 

Der Vorsitzende Richter erklärte, er 
habe zwischen dem bürokratischen Auf- 
wand für die Krankenkasse und dem 
Recht auf informationelle Selbstbestim- 
mung des Klägers abwägen müssen. Die 
erstmalige Speicherung des Bildes für die 
eGK-Erstellung sei zulässig. Für die ge- 
nerelle Aufbewahrung des Fotos fehle je- 
doch die Rechtsgrundlage. Bei der Abwä- 
gung spielte auch die Frage, inwieweit die 
Fotos vor unbefugtem Zugriff Dritter ge- 
schützt sind, eine wichtige Rolle. Das SG 
kam zu dem Ergebnis, dass die Kranken- 
kasse für eine neue Karte das Bild erneut 
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vom Betroffenen einholen könne. Der 
Anwalt der beklagten TK erklärte: „Wir 
werden Ihr Foto umgehend löschen“. In 
der Regel löscht die TK die Daten ihrer 
Versicherten erst, wenn der Vertrag endet. 
Die eGK wurde in Deutschland seit 2011 
stufenweise eingeführt; alle 5 Jahre muss 
sie erneuert werden. 

Der Klägeranwalt kommentierte: 
„Das Gericht hat über einen Einzelfall 
entschieden“. Andere Betroffene könn- 
ten sich in Zukunft nicht auf diesen 


Datenschutz in der Kommunalverwal- 
tung: Recht - Technik - Organisation 
4., völlig neu bearbeitete Auflage 

Erich Schmidt Verlag 
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(kn) Der neue Zilkens ist da - zu 
Recht hat sich das Werk aus dem Erich 
Schmidt Verlag als Standardlektüre für 
kommunale Datenschutzbeauftragte 
längst einen Namen gemacht. Auf 641 
Seiten gelingt es hier dem langjährig 
erfahrenen Datenschutzpraktiker, in 
15 Kapiteln nicht nur die datenschutz- 
rechtlichen Grundbegriffe, Prinzipien 
und Systematiken abzubilden, sondern 
sich detailliert mit den besonderen An- 
forderungen in der kommunalen Praxis 
auseinanderzusetzen. Ein Überblick 
über den bereichsspezifischen Daten- 
schutz fehlt dabei ebenso wenig, wie 
der kommunale Beschäftigtendaten- 


Prozess berufen. „Für die Versicherten 
bedeutet das Urteil womöglich, dass sie 
in Zukunft auf ihrem Antrag noch ein 
Häkchen mehr machen müssen“, für die 
Einwilligung nämlich, dass die Kran- 
kenkasse ihr Foto ohne zeitliche Ein- 
schränkung nutzen darf (Gesundheits- 
karte: Krankenkasse muss Foto löschen, 
www.haufe.de 02.12.2015; Hofer, Kran- 
kenkasse muss Foto für Gesundheitskar- 
te löschen, CuA 2/2016, 19). 
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schutz oder der Datenschutz im nicht- 
öffentlichen Bereich des kommunalen 
Umfelds. Die bei dieser Themenfülle 
erforderliche Konzentration auf das 
Landesrecht NRW und ein systemati- 
sches Verständnis der Thematik kom- 
pensiert das Werk durch eine Fülle 
von hilfreichen Fußnotenverweisen 
auf weiterführende Informationsquel- 
len. Gerade bei den technisch-orga- 
nisatorischen Fragen entpuppt sich 
das scheinbar textlastige Werk als 
kompakte Arbeitshilfe für den Prakti- 
ker. Statt einer Fülle von Checklisten 
werden die rechtlichen Anforderungen 
mit praxisgerechten Beispielformulie- 
rungen begleitet. Der Autor vermeidet 
dabei auch nicht die Darstellung wich- 
tiger Streitstände, was den Zilkens zu 
einem hilfreichen und kompakten Ein- 
steigerwerk für die komplexen The- 
men des Datenschutzes auf Ebene der 
kommunalen Verwaltungen und für 
Praktiker aller Bundesländer empfeh- 
lenswert macht. Er sollte aber nicht nur 
im Regal jedes Datenschutzbeauftrag- 
ten zu finden sein, sondern vor allem 
den Fachvorgesetzen den Einstieg in 
ihre Verantwortung erleichtern. Die- 
ses Werk macht wie kaum ein anderes 
deutlich, dass der Datenschutz nicht als 
„Beauftragtenposition“ einem Daten- 
schutzbeauftragten überlassen bleiben 
kann, sondern integraler Bestandteil 
einer modernen und rechtstaatlichen 
Verwaltungsarbeit ist. 
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